Webex混合資料安全性部署指南

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

完成叢集設定。

執行試用並移至生產（下一章）

在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下載安裝檔案

在此工作中，您將 OVA 檔案下載至您的機器（而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器）。您稍後將在安裝過程中使用此檔案。

登入https://admin.webex.com，然後按一下服務。

在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下設定。

如果卡片已停用或您看不到它，請聯絡您的客戶團隊或合作夥伴組織。將您的帳號提供給他們，並要求為您的組織啟用混合資料安全性。若要尋找帳號，請按一下右上方您的組織名稱旁的齒輪。

您也可以隨時從說明區段上的設定頁面。在混合資料安全性卡片上，按一下編輯設定以開啟頁面。然後，按一下下載「混合資料安全性」軟體在說明區段。

較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

選取無以指示您尚未"安裝;設定"該節點，然後按一下下一個。

OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。

（可選）按一下開啟部署指南以檢查是否有本指南可用的較新版本。

為 HDS 主機建立設定ISO

「混合資料安全性」設定過程會建立ISO檔案。然後，您可以使用ISO來設定您的「混合資料安全性」主機。

準備工作

「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取，請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

如果 HDS 設定工具在您的環境中的 Proxy 之後執行，請在中啟動 Docker 容器時，透過 Docker 環境變數提供 Proxy 設定（伺服器、通訊埠、憑證）。 5 。此表格提供了一些可能的環境變數：

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時，都需要此檔案的最新副本：
- 資料庫認證
- 憑證更新
- 授權原則的變更
如果您計劃加密資料庫連線，請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

在機器的指令行中，輸入適合您環境的指令：

在一般環境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。

若要登入 Docker 映像登錄，請輸入下列項目：

docker login -u hdscustomersro

在密碼提示中，輸入此雜湊：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下載適用於您環境的最新穩定映像：

在一般環境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker pull ciscocitg/hds-setup-fedramp:stable

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

使用 Web 瀏覽器轉至本地主機， http://127.0.0.1:8080 ，並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後，此工具會顯示標準登入提示。

提示時，輸入 Control Hub 客戶管理員登入認證，然後按一下登入以允許存取「混合資料安全性」所需的服務。

在設定工具概觀頁上，按一下開始使用。

於ISO匯入頁面上，您有下列選項：

無— 如果您要建立第一個 HDS 節點，則您沒有要上傳的ISO檔案。
是- 如果您已建立 HDS 節點，則您在瀏覽中選取ISO檔案並上傳。

檢查您的 X.509 憑證是否符合X.509 憑證需求。

如果您之前從未上傳過憑證，請上傳 X.509 憑證，輸入密碼，然後按一下繼續。
如果您的憑證確定，請按一下繼續。
如果您的憑證已過期或您要取代它，請選取無為繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎？。上傳新的 X.509 憑證，輸入密碼，然後按一下繼續。

輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區：

選取您的資料庫類型（ Postgres或Microsoft SQL Server )。

如果您選擇Microsoft SQL Server ，您會獲得一個驗證類型欄位。
（ Microsoft SQL Server僅））選取您的驗證類型：
- 基本驗證：您需要一個本機SQL Server帳戶名稱，使用者名稱欄位。
- Windows 驗證：您需要一個 Windows 帳戶，格式為 username@DOMAIN 在使用者名稱欄位。
在以下表格中輸入資料庫伺服器位址 <hostname>:<port> 或 <IP-address>:<port> 。

範例：
dbhost.example.org:1433 或 198.51.100.17:1433

如果節點無法使用DNS來解析主機名稱，您可以使用IP 位址進行基本驗證。

如果使用的是 Windows 驗證，則必須輸入以下格式的完整網域名稱： dbhost.example.org:1433
輸入資料庫名稱。
輸入使用者名稱和密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

選取一個TLS資料庫連線模式：

模式

說明

偏好使用 TLS （預設選項）

HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ，節點會嘗試進行加密連線。

需要 TLS

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。

需要 TLS 並驗證憑證簽署者

此模式不適用於SQL Server 資料庫。

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

需要 TLS 並驗證憑證簽署者和主機名稱

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。
節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。名稱必須完全相符，否則節點將斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

當您上傳根憑證（如有必要）並按一下繼續，HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱（如果適用）。如果測驗失敗，該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。（由於連線差異，即使 HDS 設定工具機器無法成功測試，HDS 節點也可能能夠建立TLS連線。）

在系統記錄頁上，設定您的 Syslogd 伺服器：

輸入 syslog 伺服器URL。

如果無法從 HDS 叢集的節點DNS伺服器，請在URL中使用IP 位址。

範例：
udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
如果您將伺服器"安裝;設定"為使用TLS加密，請勾選您的 syslog 伺服器是否設定為使用SSL加密？。

如果勾選此勾選方塊，請確保輸入一個TCP URL ，例如 tcp://10.92.43.23:514 。
從選擇 syslog 記錄終止下拉清單，請為您的ISO檔案選擇適當的設定：選擇或換行用於 Graylog 和 Rsyslog TCP
- 空值位元組 -- \x00
- 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。
按一下繼續。

（可選）您可以在中變更某些資料庫連線參數的預設值：進階設定。一般而言，您可能只需要變更此參數：

app_datasource_connection_pool_maxSize: 10

按一下繼續位於重設服務帳戶密碼螢幕。

服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時，使用此螢幕。

按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

在您的本地系統上製作ISO檔案的備份。

確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

若要關閉安裝工具，請鍵入 CTRL+C 。

下一步

備份組態ISO檔案。您需要它來建立更多節點用於復原，或進行組態變更。如果您丟失了ISO檔案的所有副本，則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。

我們從不擁有此金鑰的副本，如果您遺失了它，我們將無能為力。

安裝 HDS 主機 OVA

使用此流程可從 OVA 檔案建立虛擬機器。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

選取檔案>部署 OVF 範本。

在精靈中，指定您之前下載的 OVA 檔案的位置，然後按一下下一個。

於選取名稱和資料夾頁面上，輸入虛擬機器名稱用於節點（例如「HDS_否ode_1")，選擇虛擬機器節點部署可駐留的位置，然後按一下下一個。

於選取計算資源頁面上，選擇目標計算資源，然後按一下下一個。

執行驗證檢查。完成後，會出現範本詳細資料。

驗證範本詳細資料，然後按一下下一個。

如果您被要求在設定頁面，按一下4 個CPU然後按一下下一個。

於選取儲存空間頁面，按一下下一個接受預設磁碟格式和VM儲存原則。

於選取網路頁面上，從項目清單中選擇網路選項以提供所需的VM連線。

於自訂範本頁面，設定下列網路設定：

主機名稱— 輸入節點的 FQDN（主機名稱和網域）或單字主機名稱。

您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
若要確保成功註冊雲端，請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。
FQDN 的總長度不得超過 64 個字元。

IP位址— 輸入節點內部介面的IP 位址。

您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如， 255.255.255.0 。
閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
DNS伺服器— 輸入以逗號分隔的DNS伺服器清單，該伺服器負責將網域名稱轉換為數字IP位址。（最多允許 4 個DNS項目。）
NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。

將所有節點部署在相同的子網路或VLAN上，以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

如果願意，您可以跳過網路設定，並遵循設定混合資料安全VM以從節點主控台配置設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

在節點VM上按一下滑鼠右鍵，然後選擇電源>開啟電源。

混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

疑難排解提示

在節點容器啟動之前，您可能會遇到幾分鐘延遲。首次啟動期間，橋接器防火牆訊息會出現在主控台上，在此期間您無法登入。

設定混合資料安全VM

使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定，您也可以使用主控台來設定節點的網路設定。

1	在 VMware vSphere 用戶端中，選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示，請按 Enter 鍵。
2	使用以下預設登入和密碼來登入和變更認證：登入： `admin` 密碼： `cisco` 由於您是首次登入VM ，因此您必須變更管理員密碼。
3	如果您已在中網路設定安裝 HDS 主機 OVA ，請跳過此程序的其餘部分。否則，在主功能表表中，選取編輯設定選項。
4	使用IP 位址、遮罩、閘道和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
5	（可選）視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
6	儲存網路組態設定並重新啟動VM以使變更生效。

上傳並裝載 HDS 設定ISO

使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

準備工作

因為ISO檔案包含主金鑰，所以只應在「需要知道」的情況下公開它，以供混合資料安全性 VM 和任何可能需要變更的管理員存取。請確保僅那些管理員可以存取資料存放區。

從您的電腦上傳ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，按一下 ESXi 伺服器。
在組態標籤的硬體清單中，按一下儲存。
在資料儲存區清單中，按右鍵一下 VM 的資料儲存區，然後按一下瀏覽資料儲存區。
按一下上傳檔案圖示，然後按一下上傳檔案。
瀏覽到您在電腦上下載ISO檔案的位置，然後按一下開啟。
按一下是接受上傳/下載操作警告，並關閉資料存放區對話。

裝載ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下確定接受受限編輯選項警告。
按一下 CD/DVD Drive 1 ，選取從資料儲存區ISO檔案裝載的選項，然後瀏覽到您上傳設定ISO檔案的位置。
檢查已連線和開啟電源時連接。
儲存變更並重新啟動虛擬機器。

下一步

如果您的 IT 策略需要，您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

設定 HDS 節點以進行 Proxy 整合

如果網路環境需要 Proxy，請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy，則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線，並針對任何潛在問題進行疑難排解。

準備工作

請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
Proxy 伺服器要求

1	輸入 HDS 節點設定URL `https://[HDS Node IP or FQDN]/setup` 在 Web 瀏覽器中，輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至信任儲存庫和 Proxy，然後選擇一個選項：無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定，但是，HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。明確 Proxy — 可使用明確 Proxy 告知用戶端（HDS 節點）使用哪個 Proxy 伺服器，並且此選項支援多種驗證類型。選擇此選項後，您必須輸入以下資訊： Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。 Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。 Proxy 通訊協定 — 選擇 http（檢視和控制從用戶端收到的所有請求）或 https（提供通往伺服器的通道，且用戶端接收並驗證伺服器的憑證）。根據 Proxy 伺服器支援的內容來選擇一個選項。驗證類型 — 從以下驗證類型中選擇：無 — 無需進一步驗證。適用於 HTTP 或 HTTPS Proxy。基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。適用於 HTTP 或 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。僅適用於 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy，請遵循後續步驟進行操作。
3	按一下上傳根憑證或最終實體憑證，然後導覽以選擇 Proxy 的根憑證。憑證已上傳但尚未安裝，因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊，或者，如果您失誤並想重新上傳檔案，則按一下刪除。
4	按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。如果連線測驗失敗，您將看到一則錯誤訊息，顯示錯誤原因以及如何更正問題。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定，且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤，請完成以下步驟，然後請參閱關閉「封鎖的外部DNS解析模式」。
5	連線測驗通過後，針對僅設為 https 的明確 Proxy，請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。
6	按一下將所有憑證安裝到信任儲存庫（顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy）或重新啟動（顯示給 HTTP 明確 Proxy），閱讀提示，然後在準備妥當後按一下安裝。節點會在幾分鐘內重新啟動。
7	節點重新啟動後，如有需要，請再次登入，然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題，則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

註冊叢集中的第一個節點

此工作採用您在設定混合資料安全VM ，向Webex雲端註冊節點，並將其轉換為「混合資料安全性」節點。

註冊第一個節點時，您會建立將獲指定節點的叢集。叢集包含一個或多個節點，為提供備援而部署。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	登入 https://admin.webex.com。
2	從螢幕左側的功能表中，選取服務。
3	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。出現「註冊混合資料安全節點」頁。
4	選取是以表示您已"安裝;設定"節點並準備註冊它，然後按一下下一個。
5	在第一個欄位中，輸入您要向其指派「混合資料安全性」節點的叢集的名稱。我們建議您根據叢集節點所在的地理位置來命名叢集。譬如：「舊金山」或「紐約」或「達拉斯」
6	在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。此IP 位址或 FQDN 應該符合您在中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。將出現一則訊息，指出您可以向Webex註冊您的節點。
7	按一下移至節點。
8	按一下警告訊息中的繼續。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向Webex組織授予權限，以存取您的節點。
9	檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
10	按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。於混合資料安全性頁面上，會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

建立並註冊更多節點

若要向叢集新增其他節點，您只需建立其他 VM 並裝載相同的ISO設定檔案，然後註冊節點。我們建議您至少有 3 個節點。

目前，您在中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機；在此之前，他們不會向系統註冊。有關詳細資訊，請參閱使用待機資料中心進行災害復原。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	從 OVA 建立新的虛擬機器，重複中的步驟安裝 HDS 主機 OVA 。
2	在新的VM上設定初始設定，重複中的步驟設定混合資料安全VM 。
3	在新的VM上，重複中的步驟上傳並裝載 HDS 設定ISO 。
4	如果要為部署設定 Proxy，請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。
5	註冊節點。輸入https://admin.webex.com，選取服務從螢幕左側的功能表中。在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下資源。出現「混合資料安全性資源」頁。按一下新增資源。在第一個欄位中，選取現有叢集的名稱。在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。系統將顯示一則訊息，指出您可以將節點註冊到Webex雲端。按一下移至節點。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向組織授予權限，以存取您的節點。檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。您的節點已註冊。請注意，在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下一步

執行試用並移至生產（下一章）

執行試用並移至生產

試用到生產任務流程

"安裝;設定"「混合資料安全性」叢集後，您可以開始試用，向其中新增使用者，並開始使用它來測試和驗證您的部署，為移至生產環境做準備。

準備工作

1	如果適用，請同步 `HdsTrialGroup` 群組物件。如果您的組織為使用者使用目錄同步，則您必須選取 `HdsTrialGroup` 群組物件以同步到雲端，然後才能開始試用。如需相關指示，請參閱 Cisco目錄連接器的部署指南。
2	啟動試用服務開始試用服務。在您執行此工作之前，您的節點會產生警報，指出服務尚未啟動。
3	測驗您的混合資料安全性部署檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。
4	監控混合資料安全性運行狀況檢查狀態，並"安裝;設定"的電子郵件通知。
5	在試用服務中新增或移除使用者
6	使用下列動作之一完成試用階段：從試用服務移至生產環境在不移至生產的情況下結束試用服務

啟動試用服務

準備工作

如果您的組織為使用者使用目錄同步，則您必須選取 HdsTrialGroup 群組物件以同步到雲端，然後才能為組織開始試用服務。如需相關指示，請參閱 Cisco目錄連接器的部署指南。

1	登入https://admin.webex.com，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下開始試用。服務狀態變更為試用模式。
4	按一下新增使用者並輸入一個或多個使用者的電子郵件地址，以試用您的「混合資料安全性」節點用於加密和索引服務。（若您的組織使用目錄同步，請使用Active Directory來管理試用群組， `HdsTrialGroup`.)

測驗您的混合資料安全性部署

使用此流程來測試「混合資料安全性」加密情境。

準備工作

設定您的「混合資料安全性」部署。
啟用試用服務，並新增多個試用服務使用者。
請確保您有權存取 syslog，以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式，然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

如果您停用「混合資料安全性」部署，則一旦取代了用戶端快取的加密金鑰副本，就無法再存取由試用使用者建立的空間中的內容。

傳送訊息至新空間。

檢查 syslog 輸出，以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

若要檢查是否有使用者首先建立通往 KMS 的安全通道，請篩選 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION：

您應該會找到如下所示的項目（為便於閱讀而縮短了標識符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

若要檢查是否有使用者從 KMS 請求現有金鑰，請篩選 kms.data.method=retrieve 和 kms.data.type=KEY：

您應該會找到一個類似的項目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

若要檢查是否有使用者請求建立新的 KMS 金鑰，請篩選 kms.data.method=create 和 kms.data.type=KEY_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO)，請篩選 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

監控混合資料安全性運行狀況

Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。如需更主動的警示，請註冊電子郵件通知。當發生影響服務的警報或軟體升級時，您將會收到通知。

1	輸入Control Hub ，選取服務從螢幕左側的功能表中。
2	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。隨即顯示混合資料安全性設定頁面。
3	在電子郵件通知區段中，鍵入以逗號分隔的一個或多個電子郵件地址，然後按輸入。

在試用服務中新增或移除使用者

在您啟動試用服務並新增初始試用使用者集後，您可以在試用服務有效期間隨時新增或移除試用成員。

如果您從試用服務中移除使用者，則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。如果用戶端需要儲存在 KMS 上的金鑰，雲端 KMS 將代表使用者擷取該金鑰。

如果您的組織使用目錄同步，請使用Active Directory （而不是此程序）來管理試用群組， HdsTrialGroup;您可以在 Control Hub 中檢視群組成員，但無法新增或移除他們。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區域的試用模式區段中，按一下新增使用者，或按一下檢視及編輯以從試用服務中移除使用者。
4	輸入要新增的一個或多個使用者的電子郵件地址，或按一下X透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。

從試用服務移至生產環境

當您對您的部署適用於試用使用者感到滿意時，可以移至生產。當您移至生產時，組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。除非您在災害復原過程中停用該服務，否則您無法從生產環境移回試用模式。重新啟動服務需要"安裝;設定"新的試用服務。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下移至生產環境。
4	確認您要將所有使用者移至生產環境。

在不移至生產的情況下結束試用服務

如果在試用期間，您決定不繼續部署「混合資料安全性」，您可以停用「混合資料安全性」，這將結束試用服務，並將試用使用者移回雲端資料安全性服務。試用使用者將失去對試用期間加密的資料的存取權。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在停用區段中，按一下停用。
4	確認您要停用服務並結束試用服務。

管理您的 HDS 部署

管理 HDS 部署

使用這裡描述的任務來管理您的「混合資料安全性」部署。

設定叢集升級排程

混合資料安全性的軟體升級可在叢集層級自動完成，從而確保所有節點始終執行相同的軟體版本。根據叢集的升級排程來完成升級。當軟體升級變成可用時，您可以選擇在排定的升級時間之前手動升級叢集。可以設定特定的升級排程，或者使用預設排程（美國每天凌晨 3:00）：美洲/洛杉磯。必要時，也可以選擇延遲即將進行的升級。

若要設定升級排程：

1	登入 Control Hub。
2	在概觀頁面上的混合服務下，選取混合資料安全性。
3	在「混合資料安全性資源」頁上，選取叢集。
4	在右側的概觀面板中，在叢集設定下，選取叢集名稱。
5	在「設定」頁面上的「升級」下，選取升級排程的時間和時區。附註：在「時區」下，會顯示下一可用升級日期和時間。需要的話，您可以透過按一下「延遲」，將升級延遲至次日。

變更節點組態

偶爾出於如下原因，您可能需要變更混合資料安全節點的設定：

由於到期或其他原因而變更 x.509 憑證。

我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

更新資料庫設定，以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server，反之亦然。若要切換資料庫環境，請啟動混合資料安全的新部署。

建立新的設定以準備新的資料中心。

同樣地，出於安全性考量，混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後，您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期，您會收到 Webex 團隊發出的通知，要求您重設機器帳戶的密碼。（電子郵件包括文字「使用機器帳戶 API 來更新密碼。」）如果您的密碼尚未過期，此工具會提供以下兩個選項：

軟重設 — 舊密碼和新密碼同時有效，最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。

如果密碼過期而不重設，則會影響您的 HDS 服務，要求立即在所有節點上硬重設和取代 ISO 檔案。

使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

準備工作

如果 HDS 設定工具在您的環境中的 Proxy 之後執行，當在中啟動 Docker 容器時，請透過 Docker 環境變數提供 Proxy 設定（伺服器、通訊埠、憑證）。 1.e 。此表格提供了一些可能的環境變數：

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定（包括資料庫認證、憑證更新項目或變更授權策略）時需要 ISO。

在本端機器上使用 Docker 來執行「HDS 設定」工具。

在機器的指令行中，輸入適合您環境的指令：
在一般環境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。
若要登入 Docker 映像登錄，請輸入下列項目：
```
docker login -u hdscustomersro
```
在密碼提示中，輸入此雜湊：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下載適用於您環境的最新穩定映像：
在一般環境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

使用瀏覽器來連線 localhost，。 http://127.0.0.1:8080 。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

提示時，輸入 Control Hub 客戶登入認證，然後按一下接受以繼續作業。
匯入現行設定 ISO 檔案。
遵循提示來完成工具並下載更新檔。

若要關閉安裝工具，請鍵入 CTRL+C 。
在其他資料中心中建立已更新檔案的備份副本。

如果您只有一個 HDS 節點在執行中，請建立新的混合資料安全節點虛擬機器，並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示，請參閱建立並註冊更多節點。

安裝 HDS 主機 OVA。
設定 HDS 虛擬機器。
安裝已更新的設定檔案。
在 Control Hub 中註冊新的節點。

針對執行較舊設定檔的現有 HDS 節點，裝載 ISO 檔案。請在每個節點上執行下列程序，更新每個節點，然後再關閉下一個節點：

關閉虛擬機器。
在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1，選取從 ISO 檔案安裝的選項，並瀏覽至您下載新設定 ISO 檔案的位置。
勾選開啟電源時連線。
儲存變更並開啟虛擬機器的電源。

重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

關閉封鎖的外部 DNS 解析模式

當您註冊節點或檢查節點的 Proxy 設定時，此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱，則節點會自動進入封鎖的外部 DNS 解析模式。

如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱，則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

準備工作

確保您的內部 DNS 伺服器可以解析公用 DNS 名稱，而且您的節點可以與它們通訊。

1	在 Web 瀏覽器中，開啟「混合資料安全性」節點介面（例如IP 位址/setup，https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至概觀（預設頁面）。啟用時，封鎖的外部 DNS 解析設定為是。
3	轉至信任儲存庫和 Proxy 頁面。
4	按一下檢查 Proxy 連線。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器且仍然採用此模式。否則，在您重新啟動節點並回到概觀頁面之後，封鎖的外部 DNS 解析應設定為「否」。

下一步

在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

移除節點

使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後，請刪除虛擬機器以防止進一步存取您的安全性資料。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機，並關閉虛擬機器。

移除節點：

登入 Control Hub，然後選取服務。
在混合資料安全性卡片上，按一下檢視全部以顯示「混合資料安全性資源」頁。
選取您的叢集以顯示其概觀面板。
按一下開啟節點清單。
在節點標籤上，選取要移除的節點。
按一下動作>取消註冊節點。

在 vSphere 用戶端中，刪除VM。（在左側導覽窗格中，按右鍵一下VM ，然後按一下刪除。）

如果您不刪除VM，請記住解除掛載ISO設定檔案。如果沒有ISO檔案，您將無法使用VM來存取安全性資料。

使用待機資料中心進行災害復原

混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者，新的金鑰建立請求會路由至叢集。叢集還負責將其建立的金鑰返回給任何獲得授權的使用者，例如對話空間的成員。

因為叢集執行提供這些金鑰的關鍵功能，所以叢集必須保持執行並維護正確的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失，將導致客戶內容的無法復原的遺失。為了防止此類遺失，必須採取以下做法：

若災害導致主資料中心中的 HDS 部署不可用，請遵循此流程以手動故障轉移至備用資料中心。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。進行此設定後，節點即可處理流量。


passiveMode: 'false'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 輸出，以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

下一步

在容錯移轉後，如果主資料中心再次變為活躍狀態，請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原。

（可選）在 HDS 配置後解除掛載ISO

標準 HDS 組態在安裝ISO的情況下執行。但是，有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時，您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後，您可以使用此程序再次解除掛載ISO 。

準備工作

將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

1	關閉其中一個 HDS 節點。
2	在 vCenter Server Appliance 中，選取 HDS 節點。
3	選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案。
4	開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。
5	依次為每個 HDS 節點重複此操作。

混合資料安全性疑難排解

檢視警示和疑難排解

如果叢集中的所有節點都無法存取，或者叢集工作太慢以致請求逾逾時，則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集，則他們會遇到下列症狀：

無法建立新空間（無法建立新鍵）
訊息和空間標題無法解密：
- 新使用者新增至空間（無法擷取金鑰）
- 使用新用戶端的空間中的現有使用者（無法擷取金鑰）
空間中的現有使用者將繼續成功執行，只要其用戶端具有加密金鑰的快取

請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

警示

如果混合資料安全性設定有問題，Control Hub 會向組織管理員顯示警示，並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

表 1. 常見問題及解決問題的步驟
警示	動作
本端資料庫存取失敗。	檢查是否存在資料庫錯誤或本地網路問題。
本機資料庫連線失敗。	檢查資料庫伺服器是否可用，以及在節點設定中使用了正確的服務帳戶憑證。
存取雲端服務失敗。	檢查節點是否可以存取中指定的Webex伺服器外部連線需求。
正在更新雲端服務註冊。	已刪除對雲端服務的註冊。進行中重新註冊註冊。
雲端服務註冊已刪除。	向雲端服務的註冊已終止。服務正在關閉。
服務尚未啟動。	啟用試用服務，或完成將試用服務移至生產環境。
設定的網域與伺服器憑證不相符。	請確保您的伺服器憑證符合設定的服務啟動網域。最可能的原因是憑證 CN 最近已變更，現在與初始設定期間使用的 CN 不同。
無法針對雲端服務進行驗證。	檢查服務帳戶認證的準確性及是否可能過期。
無法開啟本機金鑰儲存區檔案。	檢查本機金鑰存放區檔案的完整性和密碼準確度。
本機伺服器憑證無效。	檢查伺服器憑證的到期日，並確認它是由受信任的憑證授權單位核發的。
無法公佈指標。	檢查對外部雲端服務的本地網路存取。
/media/configDrive/hds 目錄不存在。	檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

混合資料安全性疑難排解

當對混合資料安全性問題進行疑難排解時，請使用以下一般準則。

1	複查 Control Hub 中的任何警示，並修正您在其中找到的任何項目。
2	複查 syslog 伺服器輸出，以了解混合資料安全性部署中的活動。
3	聯絡Cisco 支援。

其他附註

混合資料安全性的已知問題

如果您關閉「混合資料安全性」叢集（在 Control Hub 中刪除該叢集或關閉所有節點）、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權，則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式，因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間（可能是一個小時）。當使用者成為混合資料安全性試用服務的成員時，該使用者的用戶端會繼續使用現有的 ECDH 連線，直到其逾時為止。或者，使用者可以登出並重新登入Webex應用程式，以更新應用程式聯絡以尋求加密金鑰的位置。

當您將組織的試用服務移至生產時，會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務，直到 ECDH 連線被重新協商（透過逾時或登出再登入）。

使用 OpenSSL 產生 PKCS12 檔案

準備工作

OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具，以便在 HDS 設定工具中載入。可使用其他方式執行此操作，我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL，我們將提供此程序作為準則，協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求，然後再繼續。
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時，開始執行此流程。

1	當您從 CA 收到伺服器憑證時，將其另存為 `hdsnode.pem` 。
2	將憑證顯示為文字，並驗證詳細資料。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文字編輯器建立一個名為 `hdsnode-bundle.pem` 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證，格式如下： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用易記名稱建立 .p12 檔案 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	檢查伺服器憑證詳細資料。 `openssl pkcs12 -in hdsnode.p12` 在提示時輸入密碼以加密私密金鑰，使其在輸出中列出。然後，驗證私密金鑰和第一個憑證是否包含以下行 `friendlyName: kms-private-key`。範例： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合資料安全性的先決條件。您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼，在為 HDS 主機建立設定ISO 。

當原始憑證過期時，您可以重複使用這些檔案來請求新憑證。

HDS 節點與雲端之間的流量

輸出指標收集流量

混合資料安全性節點將某些指標傳送至Webex雲端。這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標；同步與異步執行緒的指標；警示的指標，涉及加密連線、延遲或請求佇列長度的臨界值；資料儲存區的指標；和加密連線指標。節點會透過頻外（獨立於請求）通道傳送加密的金鑰資料。

入埠流量

混合資料安全性節點從Webex雲端接收以下類型的入埠流量：

來自用戶端的加密請求，由加密服務路由
升級至節點軟體

設定 Squid Proxy 以實現混合資料安全

Websocket 無法透過 Squid Proxy 連線

檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量，從而確保服務正確運作。

Squid 4 和 5

新增 on_unsupported_protocol 指示為 squid.conf ：

on_unsupported_protocol tunnel all

Squid 3.5.27

我們成功測試了混合資料安全性，其中新增了以下規則 squid.conf 。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新的和變更的資訊

日期

進行的變更

2023 年 10 月 20 日

已更新中的資訊資料庫伺服器需求。
新增設定備用資料中心以進行災害復原。
已更新中的資訊用於災害復原的備用資料中心和使用待機資料中心進行災害復原。

2023 年 8 月 7 日

已在中新增附註下載安裝檔案。
已在中新增附註為 HDS 主機建立設定ISO和變更節點組態。

2023 年 5 月 23 日

已刪除的資訊來自資料庫伺服器需求透過聯絡客戶團隊請求啟用功能。
已更新中的資訊外部連線需求並將加拿大新增至 CI 主持人表格。
已在中新增附註對部署混合資料安全性的預期關於無法將金鑰移回雲端的機制的問題。

2022 年 12 月 6 日

HDS 設定工具影像現在託管在 ciscocitg dockerhub 存放庫。
已更新為 HDS 主機建立設定ISO和變更節點組態主題，以反映指令中的變更。

2022 年 11 月 23 日

HDS 節點現在可以針對Microsoft SQL Server 使用 Windows 驗證。

更新了資料庫伺服器需求主題，並了解此驗證模式的其他需求。

已更新為 HDS 主機建立設定ISO以及在節點上設定 Windows 驗證的過程。
更新了資料庫伺服器需求具有新的最低必需版本 (PostgreSQL 10) 的主題。

2021 年 10 月 13 日

Docker Desktop 需要先執行設定程式，然後才能安裝 HDS 節點。請參閱Docker 桌面需求。

2021 年 6 月 24 日

注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

2021 年 4 月 30 日

已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求獲取詳細資訊。

2021 年 2 月 24 日

HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

2021 年 2 月 2 日

HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

2021 年 1 月 11 日

新增了有關 HDS 設定工具和 Proxy 的資訊，為 HDS 主機建立設定ISO 。

2020 年 10 月 13 日

已更新下載安裝檔案。

2020 年 10 月 8 日

已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。

2020 年 8 月 14 日

已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。

2020 年 8 月 5 日

已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

已更新虛擬主機需求以移除數目上限的主機。

2020 年 6 月 16 日

已更新移除節點了解 Control Hub UI 中的變更。

2020 年 6 月 4 日

已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

2020 年 5 月 29 日

已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

2020 年 5 月 5 日

已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

2020 年 4 月 21 日

已更新外部連線需求與新的美洲 CI 主機搭配。

2020 年 4 月 1 日

已更新外部連線需求包含有關區域 CI 主機的資訊。

2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。

2020 年 2 月 4 日已更新Proxy 伺服器需求。

2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。

2019 年 11 月 19 日

在以下章節中新增了有關已封鎖外部DNS解析模式的資訊：

Proxy 支援
設定 HDS 節點以進行 Proxy 整合
關閉封鎖的外部 DNS 解析模式

2019 年 11 月 8 日

現在，您可以在部署 OVA 時而不是在部署之後為節點網路設定。

已相應地更新了下列章節：

混合資料安全性部署任務流程
安裝 HDS 主機 OVA
設定混合資料安全VM

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

2019 年 9 月 6 日

新增SQL Server Standard 至資料庫伺服器需求。

2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄，其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。

2019 年 8 月 20 日

新增和更新了章節，以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

Proxy 支援
Proxy 伺服器要求
設定 HDS 節點以進行 Proxy 整合

若要僅存取現有部署的 Proxy 支援內容，請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

2019 年 6 月 13 日已更新試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步，則在開始試用之前先刪除群組物件。

2019 年 3 月 6 日

將需求和先決條件移至單獨的章節，準備環境。
新增了混合資料安全性部署任務流程章中的概觀設定混合資料安全叢集。

請注意，在您開始試用之前（使用後續章節中的指示）您的節點會產生警報，指出您的服務尚未啟動。
新增了試用到生產任務流程在章節中執行試用並移至生產。

2019 年 2 月 28 日

已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB，以反映 OVA 建立的磁碟大小。

2019 年 2 月 26 日

混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線，以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO並附有指示。
從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex： Webex Teams 服務的網路要求。

2019 年 1 月 24 日

Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

2018 年 11 月 5 日

新增了預備步驟來清理中的任何現有 Docker HDS 實例為 HDS 主機建立設定ISO和變更節點組態。
更新了中的金鑰存取層級步驟為 HDS 主機建立設定ISO以符合介面。

2018 年 10 月 19 日

將防火牆連線資訊分成中的節點需求和ISO組態機器需求完成混合資料安全性的先決條件。

2018 年 7 月 31 日

新增連接埠 22（SSH 存取）及有關 NAT 和防火牆連線的資訊，完成混合資料安全性的先決條件。

2018 年 5 月 21 日

變更了術語以反映Cisco Spark的品牌更名：

Cisco Spark混合資料安全性現已更名為混合資料安全性。
Cisco Spark應用程式現在更名為Webex App 應用程式。
Cisco Collaboration Cloud 現已更名為Webex Cloud。

2018 年 4 月 11 日

新增用於災害復原的備用資料中心。
已更新完成混合資料安全性的先決條件指定該備份環境應該位於其他資料中心。
已更新使用待機資料中心進行災害復原。

2018 年 2 月 22 日

新增了有關服務帳戶密碼 9 個月的使用期限以及使用 HDS 設定工具重設服務帳戶密碼的資訊，為 HDS 主機建立設定ISO和變更節點組態。

2018 年 2 月 15 日

在X.509 憑證需求表，指定憑證不能是萬用憑證，且 KMS 使用 CN 網域，而不是 x.509v3 SAN 欄位中定義的任何網域。

2018 年 1 月 18 日

新增了附錄， HDS 節點與雲端之間的流量。
移除了已解決的問題，混合資料安全性的已知問題。
已將 index.docker.io 變更為 *.docker.io，並將 *.cloudfront.net 新增至中 HDS 節點的TCP連線需求清單完成混合資料安全性的先決條件。
已更新為 HDS 主機建立設定ISO表示如果資料庫主機和 Syslogd 伺服器不能從 HDS 節點DNS，您必須使用IP位址來設定它們。

2017 年 11 月 2 日

釐清了 Hds TrialGroup 的目錄同步。
修正了上傳ISO組態檔以掛載到VM節點的指示。

2017 年 8 月 18 日

首次公佈

混合資料安全性入門

混合資料安全性概觀

安全性領域架構

Webex雲端架構將不同類型的服務分成不同的領域或信任網域，如下所述。

用戶端建立與金鑰管理服務 (KMS) 的安全連線，然後請求金鑰來加密訊息。安全連線使用 ECDH，KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務，由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。

與其他組織協作

對部署混合資料安全性的預期

混合資料安全性部署需要大量客戶，並且需要了解擁有加密金鑰帶來的風險。

若要部署混合資料安全性，您必須提供：

位於以下國家/地區的安全資料中心： Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。

管理資料庫及設定ISO的備份與復原。
準備在發生災害（例如資料庫磁碟故障或資料中心災害）時執行快速災害復原。

沒有任何機制可在部署 HDS 後將金鑰移回雲端。

高階設定過程

此文件涵蓋「混合資料安全性」部署的設定和管理：

設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體，與處於試用模式的使用者子集一起測試您的部署，以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援，並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知，並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題，本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

混合資料安全性部署模式

在企業資料中心內，您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

混合資料安全性部署模式

當您在 Control Hub 中註冊節點時，節點即會變為活躍狀態。若要使個別節點停止服務，您可以將其取消註冊，然後在需要時重新註冊。

每個組織僅支援一個叢集。

混合資料安全性試用模式

用於災害復原的備用資料中心

在部署期間，您"安裝;設定"安全待命資料中心。如果資料中心發生災害，您可以手動將部署故障轉移至備用資料中心。

作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

設定備用資料中心以進行災害復原

請遵循下列步驟來設定備用資料中心的ISO檔案：

準備工作

備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如，如果生產環境有 3 個 VM 執行 HDS 節點，則備份環境應該有 3 個 VM。（請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。）
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

ISO檔案必須是主資料中心的原始ISO檔案的副本，要在其上進行以下設定更新。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，請在下面新增設定以將節點設定為被動模式。在此模式下，節點將向組織註冊並連線至雲端，但不會處理任何流量。


passiveMode: 'true'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

下一步

Proxy 支援

混合資料安全節點支援以下 Proxy 選項：

無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是，節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。若要設定明確 Proxy，您必須在每個節點上輸入以下資訊：
1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容，從以下通訊協定中選擇：
  - HTTP — 檢視並控制用戶端傳送的所有請求。
  - HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
4. 驗證類型 — 從以下驗證類型中選擇：
  - 無 — 無需進一步驗證。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
  - 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。
  - 摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。
    
    僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

已封鎖外部 DNS 解析模式（明確 Proxy 設定）

準備您的環境

混合資料安全性的需求

Cisco Webex授權需求

若要部署混合資料安全性：

您必須安裝Cisco Webex Control Hub的專業版 Pack。（請參閱https://www.cisco.com/go/pro-pack。）

Docker 桌面需求

X.509 憑證需求

憑證鏈結必須符合下列需求：

表 1. 混合資料安全性部署的 X.509 憑證需求
需求	詳細資訊
由受信任的憑證授權單位(CA) 簽署	依預設，我們信任 Mozilla 清單中的 CA（WoSign 和 StartCom 除外），https://wiki.mozilla.org/CA:IncludedCAs 。
帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱不是萬用憑證	不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱，例如， `hds.company.com` 。 CN 不能包含 *（萬用字元）。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己，而不是使用 x.509v3 SAN 欄位中定義的任何網域。當您使用此憑證註冊節點後，我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。
非 SHA1 簽章	KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。
已格式化為受密碼保護的 PKCS #12 檔案使用的易記名稱： `kms-private-key` 標記憑證、私密金鑰以及要上傳的任何中間憑證。	您可以使用轉換器（例如 OpenSSL）來變更憑證的格式。當您執行 HDS 設定工具時，您將需要輸入密碼。

虛擬主機需求

您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求：

至少有兩個獨立的主機（建議 3 個）共置在同一個安全資料中心
VMware ESXi 6.5（或更高版本）已安裝且正在執行。

如果您具有較舊的 ESXi 版本，則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

資料庫伺服器需求

建立金鑰儲存的新資料庫。請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

資料庫伺服器有兩個選項。每個項目的需求如下：

表格 2. 依資料庫類型排列資料庫伺服器需求

Postgres

Microsoft SQL Server

已安裝且正在執行 PostgreSQL 14、15 或 16。

已安裝SQL Server 2016、2017 或 2019（企業版或標準版）。

SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過（如果您想要長時間執行資料庫而無需增加儲存體，則建議使用 2 TB）

HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

Postgres

Microsoft SQL Server

Postgres JDBC 驅動程式 42.2.5

SQL Server JDBC 驅動程式 4.6

此驅動程式版本支援SQL Server Always On（永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。

針對Microsoft SQL Server 的 Windows 驗證的其他需求

如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權，則需要在您的環境中進行以下設定：

HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。

HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時，他們會使用您ISO設定的詳細資料來構造 SPN。

外部連線需求

設定您的防火牆，以允許 HDS 應用程式進行以下連線：

應用程式	通訊協定	連接埠	來自應用程式的方向	目標
混合資料安全節點	TCP	443	出埠 HTTPS 和 WSS	Webex伺服器： .wbx2.com .ciscospark.com 所有通用身份識別主持人中針對混合資料安全性列出的其他 URL： Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求
HDS 設定工具	TCP	443	出埠 HTTPS	*.wbx2.com 所有通用身份識別主持人 Hub.docker.com

通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機：

地區	通用身份識別主持人 URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
歐盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy 伺服器要求

我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

透通 Proxy — Cisco 網路安全設備 (WSA)。

明確 Proxy — Squid。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。若要解決此問題，請參閱設定 Squid Proxy 以實現混合資料安全性。

我們支援明確 Proxy 的以下驗證類型組合：
- 不使用 HTTP 或 HTTPS 進行驗證
- 使用 HTTP 或 HTTPS 進行基本驗證
- 僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy，您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題，請略過（而非檢查）流量至 wbx2.com 和 ciscospark.com 將解決問題。

完成混合資料安全性的先決條件

使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。

為您的 HDS 部署選擇網域名稱（例如， hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合 X.509 憑證需求。

根據以下要求，準備將充當叢集主要資料存放區區的資料資料庫伺服器：資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

建立金鑰儲存用的資料庫。（您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。）
收集節點將用來與資料庫伺服器通訊的詳細資料：
- 主持人名稱或IP 位址(host) 和通訊埠
- 用於金鑰儲存的資料庫名稱 (dbname)
- 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠（預設值為UDP 514）。

因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰，所以無法維持可運作的部署將導致無法復原的遺失該內容的。

請確保您的防火牆設定允許「混合資料安全性」節點的連線，如中所述。外部連線需求。

若要安裝並執行 HDS 設定工具，本機必須具有外部連線需求。

如果您要整合 Proxy 與混合資料安全性，請確保它符合Proxy 伺服器需求。

設定混合資料安全叢集

混合資料安全性部署任務流程

準備工作

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

完成叢集設定。

執行試用並移至生產（下一章）

在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下載安裝檔案

在此工作中，您將 OVA 檔案下載至您的機器（而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器）。您稍後將在安裝過程中使用此檔案。

登入https://admin.webex.com，然後按一下服務。

在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下設定。

較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

選取無以指示您尚未"安裝;設定"該節點，然後按一下下一個。

OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。

（可選）按一下開啟部署指南以檢查是否有本指南可用的較新版本。

為 HDS 主機建立設定ISO

「混合資料安全性」設定過程會建立ISO檔案。然後，您可以使用ISO來設定您的「混合資料安全性」主機。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時，都需要此檔案的最新副本：
- 資料庫認證
- 憑證更新
- 授權原則的變更
如果您計劃加密資料庫連線，請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

在機器的指令行中，輸入適合您環境的指令：

在一般環境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。

若要登入 Docker 映像登錄，請輸入下列項目：

docker login -u hdscustomersro

在密碼提示中，輸入此雜湊：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下載適用於您環境的最新穩定映像：

在一般環境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker pull ciscocitg/hds-setup-fedramp:stable

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

使用 Web 瀏覽器轉至本地主機， http://127.0.0.1:8080 ，並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後，此工具會顯示標準登入提示。

提示時，輸入 Control Hub 客戶管理員登入認證，然後按一下登入以允許存取「混合資料安全性」所需的服務。

在設定工具概觀頁上，按一下開始使用。

於ISO匯入頁面上，您有下列選項：

無— 如果您要建立第一個 HDS 節點，則您沒有要上傳的ISO檔案。
是- 如果您已建立 HDS 節點，則您在瀏覽中選取ISO檔案並上傳。

檢查您的 X.509 憑證是否符合X.509 憑證需求。

如果您之前從未上傳過憑證，請上傳 X.509 憑證，輸入密碼，然後按一下繼續。
如果您的憑證確定，請按一下繼續。
如果您的憑證已過期或您要取代它，請選取無為繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎？。上傳新的 X.509 憑證，輸入密碼，然後按一下繼續。

輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區：

選取您的資料庫類型（ Postgres或Microsoft SQL Server )。

如果您選擇Microsoft SQL Server ，您會獲得一個驗證類型欄位。
（ Microsoft SQL Server僅））選取您的驗證類型：
- 基本驗證：您需要一個本機SQL Server帳戶名稱，使用者名稱欄位。
- Windows 驗證：您需要一個 Windows 帳戶，格式為 username@DOMAIN 在使用者名稱欄位。
在以下表格中輸入資料庫伺服器位址 <hostname>:<port> 或 <IP-address>:<port> 。

範例：
dbhost.example.org:1433 或 198.51.100.17:1433

如果節點無法使用DNS來解析主機名稱，您可以使用IP 位址進行基本驗證。

如果使用的是 Windows 驗證，則必須輸入以下格式的完整網域名稱： dbhost.example.org:1433
輸入資料庫名稱。
輸入使用者名稱和密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

選取一個TLS資料庫連線模式：

模式

說明

偏好使用 TLS （預設選項）

HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ，節點會嘗試進行加密連線。

需要 TLS

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。

需要 TLS 並驗證憑證簽署者

此模式不適用於SQL Server 資料庫。

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

需要 TLS 並驗證憑證簽署者和主機名稱

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。
節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。名稱必須完全相符，否則節點將斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

在系統記錄頁上，設定您的 Syslogd 伺服器：

輸入 syslog 伺服器URL。

如果無法從 HDS 叢集的節點DNS伺服器，請在URL中使用IP 位址。

範例：
udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
如果您將伺服器"安裝;設定"為使用TLS加密，請勾選您的 syslog 伺服器是否設定為使用SSL加密？。

如果勾選此勾選方塊，請確保輸入一個TCP URL ，例如 tcp://10.92.43.23:514 。
從選擇 syslog 記錄終止下拉清單，請為您的ISO檔案選擇適當的設定：選擇或換行用於 Graylog 和 Rsyslog TCP
- 空值位元組 -- \x00
- 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。
按一下繼續。

（可選）您可以在中變更某些資料庫連線參數的預設值：進階設定。一般而言，您可能只需要變更此參數：

app_datasource_connection_pool_maxSize: 10

按一下繼續位於重設服務帳戶密碼螢幕。

服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時，使用此螢幕。

按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

在您的本地系統上製作ISO檔案的備份。

確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

若要關閉安裝工具，請鍵入 CTRL+C 。

下一步

我們從不擁有此金鑰的副本，如果您遺失了它，我們將無能為力。

安裝 HDS 主機 OVA

使用此流程可從 OVA 檔案建立虛擬機器。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

選取檔案>部署 OVF 範本。

在精靈中，指定您之前下載的 OVA 檔案的位置，然後按一下下一個。

於選取名稱和資料夾頁面上，輸入虛擬機器名稱用於節點（例如「HDS_否ode_1")，選擇虛擬機器節點部署可駐留的位置，然後按一下下一個。

於選取計算資源頁面上，選擇目標計算資源，然後按一下下一個。

執行驗證檢查。完成後，會出現範本詳細資料。

驗證範本詳細資料，然後按一下下一個。

如果您被要求在設定頁面，按一下4 個CPU然後按一下下一個。

於選取儲存空間頁面，按一下下一個接受預設磁碟格式和VM儲存原則。

於選取網路頁面上，從項目清單中選擇網路選項以提供所需的VM連線。

於自訂範本頁面，設定下列網路設定：

主機名稱— 輸入節點的 FQDN（主機名稱和網域）或單字主機名稱。

您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
若要確保成功註冊雲端，請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。
FQDN 的總長度不得超過 64 個字元。

IP位址— 輸入節點內部介面的IP 位址。

您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如， 255.255.255.0 。
閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
DNS伺服器— 輸入以逗號分隔的DNS伺服器清單，該伺服器負責將網域名稱轉換為數字IP位址。（最多允許 4 個DNS項目。）
NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。

將所有節點部署在相同的子網路或VLAN上，以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

如果願意，您可以跳過網路設定，並遵循設定混合資料安全VM以從節點主控台配置設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

在節點VM上按一下滑鼠右鍵，然後選擇電源>開啟電源。

混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

疑難排解提示

在節點容器啟動之前，您可能會遇到幾分鐘延遲。首次啟動期間，橋接器防火牆訊息會出現在主控台上，在此期間您無法登入。

設定混合資料安全VM

1	在 VMware vSphere 用戶端中，選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示，請按 Enter 鍵。
2	使用以下預設登入和密碼來登入和變更認證：登入： `admin` 密碼： `cisco` 由於您是首次登入VM ，因此您必須變更管理員密碼。
3	如果您已在中網路設定安裝 HDS 主機 OVA ，請跳過此程序的其餘部分。否則，在主功能表表中，選取編輯設定選項。
4	使用IP 位址、遮罩、閘道和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
5	（可選）視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
6	儲存網路組態設定並重新啟動VM以使變更生效。

上傳並裝載 HDS 設定ISO

使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

準備工作

從您的電腦上傳ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，按一下 ESXi 伺服器。
在組態標籤的硬體清單中，按一下儲存。
在資料儲存區清單中，按右鍵一下 VM 的資料儲存區，然後按一下瀏覽資料儲存區。
按一下上傳檔案圖示，然後按一下上傳檔案。
瀏覽到您在電腦上下載ISO檔案的位置，然後按一下開啟。
按一下是接受上傳/下載操作警告，並關閉資料存放區對話。

裝載ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下確定接受受限編輯選項警告。
按一下 CD/DVD Drive 1 ，選取從資料儲存區ISO檔案裝載的選項，然後瀏覽到您上傳設定ISO檔案的位置。
檢查已連線和開啟電源時連接。
儲存變更並重新啟動虛擬機器。

下一步

如果您的 IT 策略需要，您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

設定 HDS 節點以進行 Proxy 整合

準備工作

請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
Proxy 伺服器要求

1	輸入 HDS 節點設定URL `https://[HDS Node IP or FQDN]/setup` 在 Web 瀏覽器中，輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至信任儲存庫和 Proxy，然後選擇一個選項：無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定，但是，HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。明確 Proxy — 可使用明確 Proxy 告知用戶端（HDS 節點）使用哪個 Proxy 伺服器，並且此選項支援多種驗證類型。選擇此選項後，您必須輸入以下資訊： Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。 Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。 Proxy 通訊協定 — 選擇 http（檢視和控制從用戶端收到的所有請求）或 https（提供通往伺服器的通道，且用戶端接收並驗證伺服器的憑證）。根據 Proxy 伺服器支援的內容來選擇一個選項。驗證類型 — 從以下驗證類型中選擇：無 — 無需進一步驗證。適用於 HTTP 或 HTTPS Proxy。基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。適用於 HTTP 或 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。僅適用於 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy，請遵循後續步驟進行操作。
3	按一下上傳根憑證或最終實體憑證，然後導覽以選擇 Proxy 的根憑證。憑證已上傳但尚未安裝，因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊，或者，如果您失誤並想重新上傳檔案，則按一下刪除。
4	按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。如果連線測驗失敗，您將看到一則錯誤訊息，顯示錯誤原因以及如何更正問題。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定，且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤，請完成以下步驟，然後請參閱關閉「封鎖的外部DNS解析模式」。
5	連線測驗通過後，針對僅設為 https 的明確 Proxy，請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。
6	按一下將所有憑證安裝到信任儲存庫（顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy）或重新啟動（顯示給 HTTP 明確 Proxy），閱讀提示，然後在準備妥當後按一下安裝。節點會在幾分鐘內重新啟動。
7	節點重新啟動後，如有需要，請再次登入，然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題，則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

註冊叢集中的第一個節點

此工作採用您在設定混合資料安全VM ，向Webex雲端註冊節點，並將其轉換為「混合資料安全性」節點。

註冊第一個節點時，您會建立將獲指定節點的叢集。叢集包含一個或多個節點，為提供備援而部署。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	登入 https://admin.webex.com。
2	從螢幕左側的功能表中，選取服務。
3	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。出現「註冊混合資料安全節點」頁。
4	選取是以表示您已"安裝;設定"節點並準備註冊它，然後按一下下一個。
5	在第一個欄位中，輸入您要向其指派「混合資料安全性」節點的叢集的名稱。我們建議您根據叢集節點所在的地理位置來命名叢集。譬如：「舊金山」或「紐約」或「達拉斯」
6	在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。此IP 位址或 FQDN 應該符合您在中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。將出現一則訊息，指出您可以向Webex註冊您的節點。
7	按一下移至節點。
8	按一下警告訊息中的繼續。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向Webex組織授予權限，以存取您的節點。
9	檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
10	按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。於混合資料安全性頁面上，會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

建立並註冊更多節點

若要向叢集新增其他節點，您只需建立其他 VM 並裝載相同的ISO設定檔案，然後註冊節點。我們建議您至少有 3 個節點。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	從 OVA 建立新的虛擬機器，重複中的步驟安裝 HDS 主機 OVA 。
2	在新的VM上設定初始設定，重複中的步驟設定混合資料安全VM 。
3	在新的VM上，重複中的步驟上傳並裝載 HDS 設定ISO 。
4	如果要為部署設定 Proxy，請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。
5	註冊節點。輸入https://admin.webex.com，選取服務從螢幕左側的功能表中。在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下資源。出現「混合資料安全性資源」頁。按一下新增資源。在第一個欄位中，選取現有叢集的名稱。在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。系統將顯示一則訊息，指出您可以將節點註冊到Webex雲端。按一下移至節點。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向組織授予權限，以存取您的節點。檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。您的節點已註冊。請注意，在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下一步

執行試用並移至生產（下一章）

執行試用並移至生產

試用到生產任務流程

"安裝;設定"「混合資料安全性」叢集後，您可以開始試用，向其中新增使用者，並開始使用它來測試和驗證您的部署，為移至生產環境做準備。

準備工作

1	如果適用，請同步 `HdsTrialGroup` 群組物件。如果您的組織為使用者使用目錄同步，則您必須選取 `HdsTrialGroup` 群組物件以同步到雲端，然後才能開始試用。如需相關指示，請參閱 Cisco目錄連接器的部署指南。
2	啟動試用服務開始試用服務。在您執行此工作之前，您的節點會產生警報，指出服務尚未啟動。
3	測驗您的混合資料安全性部署檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。
4	監控混合資料安全性運行狀況檢查狀態，並"安裝;設定"的電子郵件通知。
5	在試用服務中新增或移除使用者
6	使用下列動作之一完成試用階段：從試用服務移至生產環境在不移至生產的情況下結束試用服務

啟動試用服務

準備工作

1	登入https://admin.webex.com，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下開始試用。服務狀態變更為試用模式。
4	按一下新增使用者並輸入一個或多個使用者的電子郵件地址，以試用您的「混合資料安全性」節點用於加密和索引服務。（若您的組織使用目錄同步，請使用Active Directory來管理試用群組， `HdsTrialGroup`.)

測驗您的混合資料安全性部署

使用此流程來測試「混合資料安全性」加密情境。

準備工作

設定您的「混合資料安全性」部署。
啟用試用服務，並新增多個試用服務使用者。
請確保您有權存取 syslog，以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式，然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

如果您停用「混合資料安全性」部署，則一旦取代了用戶端快取的加密金鑰副本，就無法再存取由試用使用者建立的空間中的內容。

傳送訊息至新空間。

檢查 syslog 輸出，以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

若要檢查是否有使用者首先建立通往 KMS 的安全通道，請篩選 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION：

您應該會找到如下所示的項目（為便於閱讀而縮短了標識符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

若要檢查是否有使用者從 KMS 請求現有金鑰，請篩選 kms.data.method=retrieve 和 kms.data.type=KEY：

您應該會找到一個類似的項目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

若要檢查是否有使用者請求建立新的 KMS 金鑰，請篩選 kms.data.method=create 和 kms.data.type=KEY_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

您應該會找到一個類似的項目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

監控混合資料安全性運行狀況

1	輸入Control Hub ，選取服務從螢幕左側的功能表中。
2	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。隨即顯示混合資料安全性設定頁面。
3	在電子郵件通知區段中，鍵入以逗號分隔的一個或多個電子郵件地址，然後按輸入。

在試用服務中新增或移除使用者

在您啟動試用服務並新增初始試用使用者集後，您可以在試用服務有效期間隨時新增或移除試用成員。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區域的試用模式區段中，按一下新增使用者，或按一下檢視及編輯以從試用服務中移除使用者。
4	輸入要新增的一個或多個使用者的電子郵件地址，或按一下X透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。

從試用服務移至生產環境

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下移至生產環境。
4	確認您要將所有使用者移至生產環境。

在不移至生產的情況下結束試用服務

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在停用區段中，按一下停用。
4	確認您要停用服務並結束試用服務。

管理您的 HDS 部署

管理 HDS 部署

使用這裡描述的任務來管理您的「混合資料安全性」部署。

設定叢集升級排程

若要設定升級排程：

1	登入 Control Hub。
2	在概觀頁面上的混合服務下，選取混合資料安全性。
3	在「混合資料安全性資源」頁上，選取叢集。
4	在右側的概觀面板中，在叢集設定下，選取叢集名稱。
5	在「設定」頁面上的「升級」下，選取升級排程的時間和時區。附註：在「時區」下，會顯示下一可用升級日期和時間。需要的話，您可以透過按一下「延遲」，將升級延遲至次日。

變更節點組態

偶爾出於如下原因，您可能需要變更混合資料安全節點的設定：

由於到期或其他原因而變更 x.509 憑證。

我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

更新資料庫設定，以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server，反之亦然。若要切換資料庫環境，請啟動混合資料安全的新部署。

建立新的設定以準備新的資料中心。

軟重設 — 舊密碼和新密碼同時有效，最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。

如果密碼過期而不重設，則會影響您的 HDS 服務，要求立即在所有節點上硬重設和取代 ISO 檔案。

使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定（包括資料庫認證、憑證更新項目或變更授權策略）時需要 ISO。

在本端機器上使用 Docker 來執行「HDS 設定」工具。

在機器的指令行中，輸入適合您環境的指令：
在一般環境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。
若要登入 Docker 映像登錄，請輸入下列項目：
```
docker login -u hdscustomersro
```
在密碼提示中，輸入此雜湊：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下載適用於您環境的最新穩定映像：
在一般環境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

使用瀏覽器來連線 localhost，。 http://127.0.0.1:8080 。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

提示時，輸入 Control Hub 客戶登入認證，然後按一下接受以繼續作業。
匯入現行設定 ISO 檔案。
遵循提示來完成工具並下載更新檔。

若要關閉安裝工具，請鍵入 CTRL+C 。
在其他資料中心中建立已更新檔案的備份副本。

安裝 HDS 主機 OVA。
設定 HDS 虛擬機器。
安裝已更新的設定檔案。
在 Control Hub 中註冊新的節點。

針對執行較舊設定檔的現有 HDS 節點，裝載 ISO 檔案。請在每個節點上執行下列程序，更新每個節點，然後再關閉下一個節點：

關閉虛擬機器。
在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1，選取從 ISO 檔案安裝的選項，並瀏覽至您下載新設定 ISO 檔案的位置。
勾選開啟電源時連線。
儲存變更並開啟虛擬機器的電源。

重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

關閉封鎖的外部 DNS 解析模式

如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱，則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

準備工作

確保您的內部 DNS 伺服器可以解析公用 DNS 名稱，而且您的節點可以與它們通訊。

1	在 Web 瀏覽器中，開啟「混合資料安全性」節點介面（例如IP 位址/setup，https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至概觀（預設頁面）。啟用時，封鎖的外部 DNS 解析設定為是。
3	轉至信任儲存庫和 Proxy 頁面。
4	按一下檢查 Proxy 連線。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器且仍然採用此模式。否則，在您重新啟動節點並回到概觀頁面之後，封鎖的外部 DNS 解析應設定為「否」。

下一步

在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

移除節點

使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後，請刪除虛擬機器以防止進一步存取您的安全性資料。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機，並關閉虛擬機器。

移除節點：

登入 Control Hub，然後選取服務。
在混合資料安全性卡片上，按一下檢視全部以顯示「混合資料安全性資源」頁。
選取您的叢集以顯示其概觀面板。
按一下開啟節點清單。
在節點標籤上，選取要移除的節點。
按一下動作>取消註冊節點。

在 vSphere 用戶端中，刪除VM。（在左側導覽窗格中，按右鍵一下VM ，然後按一下刪除。）

如果您不刪除VM，請記住解除掛載ISO設定檔案。如果沒有ISO檔案，您將無法使用VM來存取安全性資料。

使用待機資料中心進行災害復原

若災害導致主資料中心中的 HDS 部署不可用，請遵循此流程以手動故障轉移至備用資料中心。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。進行此設定後，節點即可處理流量。


passiveMode: 'false'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 輸出，以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

下一步

在容錯移轉後，如果主資料中心再次變為活躍狀態，請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原。

（可選）在 HDS 配置後解除掛載ISO

標準 HDS 組態在安裝ISO的情況下執行。但是，有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

準備工作

將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

1	關閉其中一個 HDS 節點。
2	在 vCenter Server Appliance 中，選取 HDS 節點。
3	選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案。
4	開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。
5	依次為每個 HDS 節點重複此操作。

混合資料安全性疑難排解

檢視警示和疑難排解

無法建立新空間（無法建立新鍵）
訊息和空間標題無法解密：
- 新使用者新增至空間（無法擷取金鑰）
- 使用新用戶端的空間中的現有使用者（無法擷取金鑰）
空間中的現有使用者將繼續成功執行，只要其用戶端具有加密金鑰的快取

請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

警示

如果混合資料安全性設定有問題，Control Hub 會向組織管理員顯示警示，並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

表 1. 常見問題及解決問題的步驟
警示	動作
本端資料庫存取失敗。	檢查是否存在資料庫錯誤或本地網路問題。
本機資料庫連線失敗。	檢查資料庫伺服器是否可用，以及在節點設定中使用了正確的服務帳戶憑證。
存取雲端服務失敗。	檢查節點是否可以存取中指定的Webex伺服器外部連線需求。
正在更新雲端服務註冊。	已刪除對雲端服務的註冊。進行中重新註冊註冊。
雲端服務註冊已刪除。	向雲端服務的註冊已終止。服務正在關閉。
服務尚未啟動。	啟用試用服務，或完成將試用服務移至生產環境。
設定的網域與伺服器憑證不相符。	請確保您的伺服器憑證符合設定的服務啟動網域。最可能的原因是憑證 CN 最近已變更，現在與初始設定期間使用的 CN 不同。
無法針對雲端服務進行驗證。	檢查服務帳戶認證的準確性及是否可能過期。
無法開啟本機金鑰儲存區檔案。	檢查本機金鑰存放區檔案的完整性和密碼準確度。
本機伺服器憑證無效。	檢查伺服器憑證的到期日，並確認它是由受信任的憑證授權單位核發的。
無法公佈指標。	檢查對外部雲端服務的本地網路存取。
/media/configDrive/hds 目錄不存在。	檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

混合資料安全性疑難排解

當對混合資料安全性問題進行疑難排解時，請使用以下一般準則。

1	複查 Control Hub 中的任何警示，並修正您在其中找到的任何項目。
2	複查 syslog 伺服器輸出，以了解混合資料安全性部署中的活動。
3	聯絡Cisco 支援。

其他附註

混合資料安全性的已知問題

如果您關閉「混合資料安全性」叢集（在 Control Hub 中刪除該叢集或關閉所有節點）、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權，則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式，因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間（可能是一個小時）。當使用者成為混合資料安全性試用服務的成員時，該使用者的用戶端會繼續使用現有的 ECDH 連線，直到其逾時為止。或者，使用者可以登出並重新登入Webex應用程式，以更新應用程式聯絡以尋求加密金鑰的位置。

當您將組織的試用服務移至生產時，會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務，直到 ECDH 連線被重新協商（透過逾時或登出再登入）。

使用 OpenSSL 產生 PKCS12 檔案

準備工作

OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具，以便在 HDS 設定工具中載入。可使用其他方式執行此操作，我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL，我們將提供此程序作為準則，協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求，然後再繼續。
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時，開始執行此流程。

1	當您從 CA 收到伺服器憑證時，將其另存為 `hdsnode.pem` 。
2	將憑證顯示為文字，並驗證詳細資料。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文字編輯器建立一個名為 `hdsnode-bundle.pem` 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證，格式如下： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用易記名稱建立 .p12 檔案 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	檢查伺服器憑證詳細資料。 `openssl pkcs12 -in hdsnode.p12` 在提示時輸入密碼以加密私密金鑰，使其在輸出中列出。然後，驗證私密金鑰和第一個憑證是否包含以下行 `friendlyName: kms-private-key`。範例： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合資料安全性的先決條件。您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼，在為 HDS 主機建立設定ISO 。

當原始憑證過期時，您可以重複使用這些檔案來請求新憑證。

HDS 節點與雲端之間的流量

輸出指標收集流量

入埠流量

混合資料安全性節點從Webex雲端接收以下類型的入埠流量：

來自用戶端的加密請求，由加密服務路由
升級至節點軟體

設定 Squid Proxy 以實現混合資料安全

Websocket 無法透過 Squid Proxy 連線

Squid 4 和 5

新增 on_unsupported_protocol 指示為 squid.conf ：

on_unsupported_protocol tunnel all

Squid 3.5.27

我們成功測試了混合資料安全性，其中新增了以下規則 squid.conf 。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新的和變更的資訊

日期

進行的變更

2023 年 10 月 20 日

已更新中的資訊資料庫伺服器需求。
新增設定備用資料中心以進行災害復原。
已更新中的資訊用於災害復原的備用資料中心和使用待機資料中心進行災害復原。

2023 年 8 月 7 日

已在中新增附註下載安裝檔案。
已在中新增附註為 HDS 主機建立設定ISO和變更節點組態。

2023 年 5 月 23 日

已刪除的資訊來自資料庫伺服器需求透過聯絡客戶團隊請求啟用功能。
已更新中的資訊外部連線需求並將加拿大新增至 CI 主持人表格。
已在中新增附註對部署混合資料安全性的預期關於無法將金鑰移回雲端的機制的問題。

2022 年 12 月 6 日

HDS 設定工具影像現在託管在 ciscocitg dockerhub 存放庫。
已更新為 HDS 主機建立設定ISO和變更節點組態主題，以反映指令中的變更。

2022 年 11 月 23 日

HDS 節點現在可以針對Microsoft SQL Server 使用 Windows 驗證。

更新了資料庫伺服器需求主題，並了解此驗證模式的其他需求。

已更新為 HDS 主機建立設定ISO以及在節點上設定 Windows 驗證的過程。
更新了資料庫伺服器需求具有新的最低必需版本 (PostgreSQL 10) 的主題。

2021 年 10 月 13 日

Docker Desktop 需要先執行設定程式，然後才能安裝 HDS 節點。請參閱Docker 桌面需求。

2021 年 6 月 24 日

注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

2021 年 4 月 30 日

已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求獲取詳細資訊。

2021 年 2 月 24 日

HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

2021 年 2 月 2 日

HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

2021 年 1 月 11 日

新增了有關 HDS 設定工具和 Proxy 的資訊，為 HDS 主機建立設定ISO 。

2020 年 10 月 13 日

已更新下載安裝檔案。

2020 年 10 月 8 日

已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。

2020 年 8 月 14 日

已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。

2020 年 8 月 5 日

已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

已更新虛擬主機需求以移除數目上限的主機。

2020 年 6 月 16 日

已更新移除節點了解 Control Hub UI 中的變更。

2020 年 6 月 4 日

已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

2020 年 5 月 29 日

已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

2020 年 5 月 5 日

已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

2020 年 4 月 21 日

已更新外部連線需求與新的美洲 CI 主機搭配。

2020 年 4 月 1 日

已更新外部連線需求包含有關區域 CI 主機的資訊。

2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。

2020 年 2 月 4 日已更新Proxy 伺服器需求。

2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。

2019 年 11 月 19 日

在以下章節中新增了有關已封鎖外部DNS解析模式的資訊：

Proxy 支援
設定 HDS 節點以進行 Proxy 整合
關閉封鎖的外部 DNS 解析模式

2019 年 11 月 8 日

現在，您可以在部署 OVA 時而不是在部署之後為節點網路設定。

已相應地更新了下列章節：

混合資料安全性部署任務流程
安裝 HDS 主機 OVA
設定混合資料安全VM

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

2019 年 9 月 6 日

新增SQL Server Standard 至資料庫伺服器需求。

2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄，其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。

2019 年 8 月 20 日

新增和更新了章節，以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

Proxy 支援
Proxy 伺服器要求
設定 HDS 節點以進行 Proxy 整合

若要僅存取現有部署的 Proxy 支援內容，請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

2019 年 6 月 13 日已更新試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步，則在開始試用之前先刪除群組物件。

2019 年 3 月 6 日

將需求和先決條件移至單獨的章節，準備環境。
新增了混合資料安全性部署任務流程章中的概觀設定混合資料安全叢集。

請注意，在您開始試用之前（使用後續章節中的指示）您的節點會產生警報，指出您的服務尚未啟動。
新增了試用到生產任務流程在章節中執行試用並移至生產。

2019 年 2 月 28 日

已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB，以反映 OVA 建立的磁碟大小。

2019 年 2 月 26 日

混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線，以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO並附有指示。
從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex： Webex Teams 服務的網路要求。

2019 年 1 月 24 日

Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

2018 年 11 月 5 日

新增了預備步驟來清理中的任何現有 Docker HDS 實例為 HDS 主機建立設定ISO和變更節點組態。
更新了中的金鑰存取層級步驟為 HDS 主機建立設定ISO以符合介面。

2018 年 10 月 19 日

將防火牆連線資訊分成中的節點需求和ISO組態機器需求完成混合資料安全性的先決條件。

2018 年 7 月 31 日

新增連接埠 22（SSH 存取）及有關 NAT 和防火牆連線的資訊，完成混合資料安全性的先決條件。

2018 年 5 月 21 日

變更了術語以反映Cisco Spark的品牌更名：

Cisco Spark混合資料安全性現已更名為混合資料安全性。
Cisco Spark應用程式現在更名為Webex App 應用程式。
Cisco Collaboration Cloud 現已更名為Webex Cloud。

2018 年 4 月 11 日

新增用於災害復原的備用資料中心。
已更新完成混合資料安全性的先決條件指定該備份環境應該位於其他資料中心。
已更新使用待機資料中心進行災害復原。

2018 年 2 月 22 日

新增了有關服務帳戶密碼 9 個月的使用期限以及使用 HDS 設定工具重設服務帳戶密碼的資訊，為 HDS 主機建立設定ISO和變更節點組態。

2018 年 2 月 15 日

在X.509 憑證需求表，指定憑證不能是萬用憑證，且 KMS 使用 CN 網域，而不是 x.509v3 SAN 欄位中定義的任何網域。

2018 年 1 月 18 日

新增了附錄， HDS 節點與雲端之間的流量。
移除了已解決的問題，混合資料安全性的已知問題。
已將 index.docker.io 變更為 *.docker.io，並將 *.cloudfront.net 新增至中 HDS 節點的TCP連線需求清單完成混合資料安全性的先決條件。
已更新為 HDS 主機建立設定ISO表示如果資料庫主機和 Syslogd 伺服器不能從 HDS 節點DNS，您必須使用IP位址來設定它們。

2017 年 11 月 2 日

釐清了 Hds TrialGroup 的目錄同步。
修正了上傳ISO組態檔以掛載到VM節點的指示。

2017 年 8 月 18 日

首次公佈

混合資料安全性入門

混合資料安全性概觀

安全性領域架構

Webex雲端架構將不同類型的服務分成不同的領域或信任網域，如下所述。

用戶端建立與金鑰管理服務 (KMS) 的安全連線，然後請求金鑰來加密訊息。安全連線使用 ECDH，KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務，由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。

與其他組織協作

對部署混合資料安全性的預期

混合資料安全性部署需要大量客戶，並且需要了解擁有加密金鑰帶來的風險。

若要部署混合資料安全性，您必須提供：

位於以下國家/地區的安全資料中心： Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。

管理資料庫及設定ISO的備份與復原。
準備在發生災害（例如資料庫磁碟故障或資料中心災害）時執行快速災害復原。

沒有任何機制可在部署 HDS 後將金鑰移回雲端。

高階設定過程

此文件涵蓋「混合資料安全性」部署的設定和管理：

設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體，與處於試用模式的使用者子集一起測試您的部署，以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援，並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知，並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題，本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

混合資料安全性部署模式

在企業資料中心內，您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

混合資料安全性部署模式

當您在 Control Hub 中註冊節點時，節點即會變為活躍狀態。若要使個別節點停止服務，您可以將其取消註冊，然後在需要時重新註冊。

每個組織僅支援一個叢集。

混合資料安全性試用模式

用於災害復原的備用資料中心

在部署期間，您"安裝;設定"安全待命資料中心。如果資料中心發生災害，您可以手動將部署故障轉移至備用資料中心。

作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

設定備用資料中心以進行災害復原

請遵循下列步驟來設定備用資料中心的ISO檔案：

準備工作

備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如，如果生產環境有 3 個 VM 執行 HDS 節點，則備份環境應該有 3 個 VM。（請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。）
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

ISO檔案必須是主資料中心的原始ISO檔案的副本，要在其上進行以下設定更新。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，請在下面新增設定以將節點設定為被動模式。在此模式下，節點將向組織註冊並連線至雲端，但不會處理任何流量。


passiveMode: 'true'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

下一步

Proxy 支援

混合資料安全節點支援以下 Proxy 選項：

無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是，節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。若要設定明確 Proxy，您必須在每個節點上輸入以下資訊：
1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容，從以下通訊協定中選擇：
  - HTTP — 檢視並控制用戶端傳送的所有請求。
  - HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
4. 驗證類型 — 從以下驗證類型中選擇：
  - 無 — 無需進一步驗證。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
  - 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。
  - 摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。
    
    僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

已封鎖外部 DNS 解析模式（明確 Proxy 設定）

準備您的環境

混合資料安全性的需求

Cisco Webex授權需求

若要部署混合資料安全性：

您必須安裝Cisco Webex Control Hub的專業版 Pack。（請參閱https://www.cisco.com/go/pro-pack。）

Docker 桌面需求

X.509 憑證需求

憑證鏈結必須符合下列需求：

表 1. 混合資料安全性部署的 X.509 憑證需求
需求	詳細資訊
由受信任的憑證授權單位(CA) 簽署	依預設，我們信任 Mozilla 清單中的 CA（WoSign 和 StartCom 除外），https://wiki.mozilla.org/CA:IncludedCAs 。
帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱不是萬用憑證	不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱，例如， `hds.company.com` 。 CN 不能包含 *（萬用字元）。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己，而不是使用 x.509v3 SAN 欄位中定義的任何網域。當您使用此憑證註冊節點後，我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。
非 SHA1 簽章	KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。
已格式化為受密碼保護的 PKCS #12 檔案使用的易記名稱： `kms-private-key` 標記憑證、私密金鑰以及要上傳的任何中間憑證。	您可以使用轉換器（例如 OpenSSL）來變更憑證的格式。當您執行 HDS 設定工具時，您將需要輸入密碼。

虛擬主機需求

您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求：

至少有兩個獨立的主機（建議 3 個）共置在同一個安全資料中心
VMware ESXi 6.5（或更高版本）已安裝且正在執行。

如果您具有較舊的 ESXi 版本，則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

資料庫伺服器需求

建立金鑰儲存的新資料庫。請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

資料庫伺服器有兩個選項。每個項目的需求如下：

表格 2. 依資料庫類型排列資料庫伺服器需求

Postgres

Microsoft SQL Server

已安裝且正在執行 PostgreSQL 14、15 或 16。

已安裝SQL Server 2016、2017 或 2019（企業版或標準版）。

SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過（如果您想要長時間執行資料庫而無需增加儲存體，則建議使用 2 TB）

HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

Postgres

Microsoft SQL Server

Postgres JDBC 驅動程式 42.2.5

SQL Server JDBC 驅動程式 4.6

此驅動程式版本支援SQL Server Always On（永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。

針對Microsoft SQL Server 的 Windows 驗證的其他需求

如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權，則需要在您的環境中進行以下設定：

HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。

HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時，他們會使用您ISO設定的詳細資料來構造 SPN。

外部連線需求

設定您的防火牆，以允許 HDS 應用程式進行以下連線：

應用程式	通訊協定	連接埠	來自應用程式的方向	目標
混合資料安全節點	TCP	443	出埠 HTTPS 和 WSS	Webex伺服器： .wbx2.com .ciscospark.com 所有通用身份識別主持人中針對混合資料安全性列出的其他 URL： Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求
HDS 設定工具	TCP	443	出埠 HTTPS	*.wbx2.com 所有通用身份識別主持人 Hub.docker.com

通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機：

地區	通用身份識別主持人 URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
歐盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy 伺服器要求

我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

透通 Proxy — Cisco 網路安全設備 (WSA)。

明確 Proxy — Squid。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。若要解決此問題，請參閱設定 Squid Proxy 以實現混合資料安全性。

我們支援明確 Proxy 的以下驗證類型組合：
- 不使用 HTTP 或 HTTPS 進行驗證
- 使用 HTTP 或 HTTPS 進行基本驗證
- 僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy，您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題，請略過（而非檢查）流量至 wbx2.com 和 ciscospark.com 將解決問題。

完成混合資料安全性的先決條件

使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。

為您的 HDS 部署選擇網域名稱（例如， hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合 X.509 憑證需求。

根據以下要求，準備將充當叢集主要資料存放區區的資料資料庫伺服器：資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

建立金鑰儲存用的資料庫。（您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。）
收集節點將用來與資料庫伺服器通訊的詳細資料：
- 主持人名稱或IP 位址(host) 和通訊埠
- 用於金鑰儲存的資料庫名稱 (dbname)
- 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠（預設值為UDP 514）。

因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰，所以無法維持可運作的部署將導致無法復原的遺失該內容的。

請確保您的防火牆設定允許「混合資料安全性」節點的連線，如中所述。外部連線需求。

若要安裝並執行 HDS 設定工具，本機必須具有外部連線需求。

如果您要整合 Proxy 與混合資料安全性，請確保它符合Proxy 伺服器需求。

設定混合資料安全叢集

混合資料安全性部署任務流程

準備工作

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

完成叢集設定。

執行試用並移至生產（下一章）

在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下載安裝檔案

在此工作中，您將 OVA 檔案下載至您的機器（而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器）。您稍後將在安裝過程中使用此檔案。

登入https://admin.webex.com，然後按一下服務。

在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下設定。

較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

選取無以指示您尚未"安裝;設定"該節點，然後按一下下一個。

OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。

（可選）按一下開啟部署指南以檢查是否有本指南可用的較新版本。

為 HDS 主機建立設定ISO

「混合資料安全性」設定過程會建立ISO檔案。然後，您可以使用ISO來設定您的「混合資料安全性」主機。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時，都需要此檔案的最新副本：
- 資料庫認證
- 憑證更新
- 授權原則的變更
如果您計劃加密資料庫連線，請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

在機器的指令行中，輸入適合您環境的指令：

在一般環境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。

若要登入 Docker 映像登錄，請輸入下列項目：

docker login -u hdscustomersro

在密碼提示中，輸入此雜湊：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下載適用於您環境的最新穩定映像：

在一般環境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker pull ciscocitg/hds-setup-fedramp:stable

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

使用 Web 瀏覽器轉至本地主機， http://127.0.0.1:8080 ，並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後，此工具會顯示標準登入提示。

提示時，輸入 Control Hub 客戶管理員登入認證，然後按一下登入以允許存取「混合資料安全性」所需的服務。

在設定工具概觀頁上，按一下開始使用。

於ISO匯入頁面上，您有下列選項：

無— 如果您要建立第一個 HDS 節點，則您沒有要上傳的ISO檔案。
是- 如果您已建立 HDS 節點，則您在瀏覽中選取ISO檔案並上傳。

檢查您的 X.509 憑證是否符合X.509 憑證需求。

如果您之前從未上傳過憑證，請上傳 X.509 憑證，輸入密碼，然後按一下繼續。
如果您的憑證確定，請按一下繼續。
如果您的憑證已過期或您要取代它，請選取無為繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎？。上傳新的 X.509 憑證，輸入密碼，然後按一下繼續。

輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區：

選取您的資料庫類型（ Postgres或Microsoft SQL Server )。

如果您選擇Microsoft SQL Server ，您會獲得一個驗證類型欄位。
（ Microsoft SQL Server僅））選取您的驗證類型：
- 基本驗證：您需要一個本機SQL Server帳戶名稱，使用者名稱欄位。
- Windows 驗證：您需要一個 Windows 帳戶，格式為 username@DOMAIN 在使用者名稱欄位。
在以下表格中輸入資料庫伺服器位址 <hostname>:<port> 或 <IP-address>:<port> 。

範例：
dbhost.example.org:1433 或 198.51.100.17:1433

如果節點無法使用DNS來解析主機名稱，您可以使用IP 位址進行基本驗證。

如果使用的是 Windows 驗證，則必須輸入以下格式的完整網域名稱： dbhost.example.org:1433
輸入資料庫名稱。
輸入使用者名稱和密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

選取一個TLS資料庫連線模式：

模式

說明

偏好使用 TLS （預設選項）

HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ，節點會嘗試進行加密連線。

需要 TLS

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。

需要 TLS 並驗證憑證簽署者

此模式不適用於SQL Server 資料庫。

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

需要 TLS 並驗證憑證簽署者和主機名稱

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。
節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。名稱必須完全相符，否則節點將斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

在系統記錄頁上，設定您的 Syslogd 伺服器：

輸入 syslog 伺服器URL。

如果無法從 HDS 叢集的節點DNS伺服器，請在URL中使用IP 位址。

範例：
udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
如果您將伺服器"安裝;設定"為使用TLS加密，請勾選您的 syslog 伺服器是否設定為使用SSL加密？。

如果勾選此勾選方塊，請確保輸入一個TCP URL ，例如 tcp://10.92.43.23:514 。
從選擇 syslog 記錄終止下拉清單，請為您的ISO檔案選擇適當的設定：選擇或換行用於 Graylog 和 Rsyslog TCP
- 空值位元組 -- \x00
- 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。
按一下繼續。

（可選）您可以在中變更某些資料庫連線參數的預設值：進階設定。一般而言，您可能只需要變更此參數：

app_datasource_connection_pool_maxSize: 10

按一下繼續位於重設服務帳戶密碼螢幕。

服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時，使用此螢幕。

按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

在您的本地系統上製作ISO檔案的備份。

確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

若要關閉安裝工具，請鍵入 CTRL+C 。

下一步

我們從不擁有此金鑰的副本，如果您遺失了它，我們將無能為力。

安裝 HDS 主機 OVA

使用此流程可從 OVA 檔案建立虛擬機器。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

選取檔案>部署 OVF 範本。

在精靈中，指定您之前下載的 OVA 檔案的位置，然後按一下下一個。

於選取名稱和資料夾頁面上，輸入虛擬機器名稱用於節點（例如「HDS_否ode_1")，選擇虛擬機器節點部署可駐留的位置，然後按一下下一個。

於選取計算資源頁面上，選擇目標計算資源，然後按一下下一個。

執行驗證檢查。完成後，會出現範本詳細資料。

驗證範本詳細資料，然後按一下下一個。

如果您被要求在設定頁面，按一下4 個CPU然後按一下下一個。

於選取儲存空間頁面，按一下下一個接受預設磁碟格式和VM儲存原則。

於選取網路頁面上，從項目清單中選擇網路選項以提供所需的VM連線。

於自訂範本頁面，設定下列網路設定：

主機名稱— 輸入節點的 FQDN（主機名稱和網域）或單字主機名稱。

您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
若要確保成功註冊雲端，請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。
FQDN 的總長度不得超過 64 個字元。

IP位址— 輸入節點內部介面的IP 位址。

您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如， 255.255.255.0 。
閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
DNS伺服器— 輸入以逗號分隔的DNS伺服器清單，該伺服器負責將網域名稱轉換為數字IP位址。（最多允許 4 個DNS項目。）
NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。

將所有節點部署在相同的子網路或VLAN上，以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

如果願意，您可以跳過網路設定，並遵循設定混合資料安全VM以從節點主控台配置設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

在節點VM上按一下滑鼠右鍵，然後選擇電源>開啟電源。

混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

疑難排解提示

在節點容器啟動之前，您可能會遇到幾分鐘延遲。首次啟動期間，橋接器防火牆訊息會出現在主控台上，在此期間您無法登入。

設定混合資料安全VM

1	在 VMware vSphere 用戶端中，選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示，請按 Enter 鍵。
2	使用以下預設登入和密碼來登入和變更認證：登入： `admin` 密碼： `cisco` 由於您是首次登入VM ，因此您必須變更管理員密碼。
3	如果您已在中網路設定安裝 HDS 主機 OVA ，請跳過此程序的其餘部分。否則，在主功能表表中，選取編輯設定選項。
4	使用IP 位址、遮罩、閘道和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
5	（可選）視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
6	儲存網路組態設定並重新啟動VM以使變更生效。

上傳並裝載 HDS 設定ISO

使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

準備工作

從您的電腦上傳ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，按一下 ESXi 伺服器。
在組態標籤的硬體清單中，按一下儲存。
在資料儲存區清單中，按右鍵一下 VM 的資料儲存區，然後按一下瀏覽資料儲存區。
按一下上傳檔案圖示，然後按一下上傳檔案。
瀏覽到您在電腦上下載ISO檔案的位置，然後按一下開啟。
按一下是接受上傳/下載操作警告，並關閉資料存放區對話。

裝載ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下確定接受受限編輯選項警告。
按一下 CD/DVD Drive 1 ，選取從資料儲存區ISO檔案裝載的選項，然後瀏覽到您上傳設定ISO檔案的位置。
檢查已連線和開啟電源時連接。
儲存變更並重新啟動虛擬機器。

下一步

如果您的 IT 策略需要，您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

設定 HDS 節點以進行 Proxy 整合

準備工作

請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
Proxy 伺服器要求

1	輸入 HDS 節點設定URL `https://[HDS Node IP or FQDN]/setup` 在 Web 瀏覽器中，輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至信任儲存庫和 Proxy，然後選擇一個選項：無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定，但是，HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。明確 Proxy — 可使用明確 Proxy 告知用戶端（HDS 節點）使用哪個 Proxy 伺服器，並且此選項支援多種驗證類型。選擇此選項後，您必須輸入以下資訊： Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。 Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。 Proxy 通訊協定 — 選擇 http（檢視和控制從用戶端收到的所有請求）或 https（提供通往伺服器的通道，且用戶端接收並驗證伺服器的憑證）。根據 Proxy 伺服器支援的內容來選擇一個選項。驗證類型 — 從以下驗證類型中選擇：無 — 無需進一步驗證。適用於 HTTP 或 HTTPS Proxy。基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。適用於 HTTP 或 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。僅適用於 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy，請遵循後續步驟進行操作。
3	按一下上傳根憑證或最終實體憑證，然後導覽以選擇 Proxy 的根憑證。憑證已上傳但尚未安裝，因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊，或者，如果您失誤並想重新上傳檔案，則按一下刪除。
4	按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。如果連線測驗失敗，您將看到一則錯誤訊息，顯示錯誤原因以及如何更正問題。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定，且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤，請完成以下步驟，然後請參閱關閉「封鎖的外部DNS解析模式」。
5	連線測驗通過後，針對僅設為 https 的明確 Proxy，請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。
6	按一下將所有憑證安裝到信任儲存庫（顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy）或重新啟動（顯示給 HTTP 明確 Proxy），閱讀提示，然後在準備妥當後按一下安裝。節點會在幾分鐘內重新啟動。
7	節點重新啟動後，如有需要，請再次登入，然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題，則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

註冊叢集中的第一個節點

此工作採用您在設定混合資料安全VM ，向Webex雲端註冊節點，並將其轉換為「混合資料安全性」節點。

註冊第一個節點時，您會建立將獲指定節點的叢集。叢集包含一個或多個節點，為提供備援而部署。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	登入 https://admin.webex.com。
2	從螢幕左側的功能表中，選取服務。
3	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。出現「註冊混合資料安全節點」頁。
4	選取是以表示您已"安裝;設定"節點並準備註冊它，然後按一下下一個。
5	在第一個欄位中，輸入您要向其指派「混合資料安全性」節點的叢集的名稱。我們建議您根據叢集節點所在的地理位置來命名叢集。譬如：「舊金山」或「紐約」或「達拉斯」
6	在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。此IP 位址或 FQDN 應該符合您在中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。將出現一則訊息，指出您可以向Webex註冊您的節點。
7	按一下移至節點。
8	按一下警告訊息中的繼續。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向Webex組織授予權限，以存取您的節點。
9	檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
10	按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。於混合資料安全性頁面上，會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

建立並註冊更多節點

若要向叢集新增其他節點，您只需建立其他 VM 並裝載相同的ISO設定檔案，然後註冊節點。我們建議您至少有 3 個節點。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	從 OVA 建立新的虛擬機器，重複中的步驟安裝 HDS 主機 OVA 。
2	在新的VM上設定初始設定，重複中的步驟設定混合資料安全VM 。
3	在新的VM上，重複中的步驟上傳並裝載 HDS 設定ISO 。
4	如果要為部署設定 Proxy，請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。
5	註冊節點。輸入https://admin.webex.com，選取服務從螢幕左側的功能表中。在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下資源。出現「混合資料安全性資源」頁。按一下新增資源。在第一個欄位中，選取現有叢集的名稱。在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。系統將顯示一則訊息，指出您可以將節點註冊到Webex雲端。按一下移至節點。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向組織授予權限，以存取您的節點。檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。您的節點已註冊。請注意，在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下一步

執行試用並移至生產（下一章）

執行試用並移至生產

試用到生產任務流程

"安裝;設定"「混合資料安全性」叢集後，您可以開始試用，向其中新增使用者，並開始使用它來測試和驗證您的部署，為移至生產環境做準備。

準備工作

1	如果適用，請同步 `HdsTrialGroup` 群組物件。如果您的組織為使用者使用目錄同步，則您必須選取 `HdsTrialGroup` 群組物件以同步到雲端，然後才能開始試用。如需相關指示，請參閱 Cisco目錄連接器的部署指南。
2	啟動試用服務開始試用服務。在您執行此工作之前，您的節點會產生警報，指出服務尚未啟動。
3	測驗您的混合資料安全性部署檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。
4	監控混合資料安全性運行狀況檢查狀態，並"安裝;設定"的電子郵件通知。
5	在試用服務中新增或移除使用者
6	使用下列動作之一完成試用階段：從試用服務移至生產環境在不移至生產的情況下結束試用服務

啟動試用服務

準備工作

1	登入https://admin.webex.com，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下開始試用。服務狀態變更為試用模式。
4	按一下新增使用者並輸入一個或多個使用者的電子郵件地址，以試用您的「混合資料安全性」節點用於加密和索引服務。（若您的組織使用目錄同步，請使用Active Directory來管理試用群組， `HdsTrialGroup`.)

測驗您的混合資料安全性部署

使用此流程來測試「混合資料安全性」加密情境。

準備工作

設定您的「混合資料安全性」部署。
啟用試用服務，並新增多個試用服務使用者。
請確保您有權存取 syslog，以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式，然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

如果您停用「混合資料安全性」部署，則一旦取代了用戶端快取的加密金鑰副本，就無法再存取由試用使用者建立的空間中的內容。

傳送訊息至新空間。

檢查 syslog 輸出，以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

若要檢查是否有使用者首先建立通往 KMS 的安全通道，請篩選 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION：

您應該會找到如下所示的項目（為便於閱讀而縮短了標識符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

若要檢查是否有使用者從 KMS 請求現有金鑰，請篩選 kms.data.method=retrieve 和 kms.data.type=KEY：

您應該會找到一個類似的項目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

若要檢查是否有使用者請求建立新的 KMS 金鑰，請篩選 kms.data.method=create 和 kms.data.type=KEY_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

您應該會找到一個類似的項目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

監控混合資料安全性運行狀況

1	輸入Control Hub ，選取服務從螢幕左側的功能表中。
2	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。隨即顯示混合資料安全性設定頁面。
3	在電子郵件通知區段中，鍵入以逗號分隔的一個或多個電子郵件地址，然後按輸入。

在試用服務中新增或移除使用者

在您啟動試用服務並新增初始試用使用者集後，您可以在試用服務有效期間隨時新增或移除試用成員。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區域的試用模式區段中，按一下新增使用者，或按一下檢視及編輯以從試用服務中移除使用者。
4	輸入要新增的一個或多個使用者的電子郵件地址，或按一下X透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。

從試用服務移至生產環境

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下移至生產環境。
4	確認您要將所有使用者移至生產環境。

在不移至生產的情況下結束試用服務

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在停用區段中，按一下停用。
4	確認您要停用服務並結束試用服務。

管理您的 HDS 部署

管理 HDS 部署

使用這裡描述的任務來管理您的「混合資料安全性」部署。

設定叢集升級排程

若要設定升級排程：

1	登入 Control Hub。
2	在概觀頁面上的混合服務下，選取混合資料安全性。
3	在「混合資料安全性資源」頁上，選取叢集。
4	在右側的概觀面板中，在叢集設定下，選取叢集名稱。
5	在「設定」頁面上的「升級」下，選取升級排程的時間和時區。附註：在「時區」下，會顯示下一可用升級日期和時間。需要的話，您可以透過按一下「延遲」，將升級延遲至次日。

變更節點組態

偶爾出於如下原因，您可能需要變更混合資料安全節點的設定：

由於到期或其他原因而變更 x.509 憑證。

我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

更新資料庫設定，以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server，反之亦然。若要切換資料庫環境，請啟動混合資料安全的新部署。

建立新的設定以準備新的資料中心。

軟重設 — 舊密碼和新密碼同時有效，最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。

如果密碼過期而不重設，則會影響您的 HDS 服務，要求立即在所有節點上硬重設和取代 ISO 檔案。

使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定（包括資料庫認證、憑證更新項目或變更授權策略）時需要 ISO。

在本端機器上使用 Docker 來執行「HDS 設定」工具。

在機器的指令行中，輸入適合您環境的指令：
在一般環境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。
若要登入 Docker 映像登錄，請輸入下列項目：
```
docker login -u hdscustomersro
```
在密碼提示中，輸入此雜湊：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下載適用於您環境的最新穩定映像：
在一般環境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

使用瀏覽器來連線 localhost，。 http://127.0.0.1:8080 。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

提示時，輸入 Control Hub 客戶登入認證，然後按一下接受以繼續作業。
匯入現行設定 ISO 檔案。
遵循提示來完成工具並下載更新檔。

若要關閉安裝工具，請鍵入 CTRL+C 。
在其他資料中心中建立已更新檔案的備份副本。

安裝 HDS 主機 OVA。
設定 HDS 虛擬機器。
安裝已更新的設定檔案。
在 Control Hub 中註冊新的節點。

針對執行較舊設定檔的現有 HDS 節點，裝載 ISO 檔案。請在每個節點上執行下列程序，更新每個節點，然後再關閉下一個節點：

關閉虛擬機器。
在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1，選取從 ISO 檔案安裝的選項，並瀏覽至您下載新設定 ISO 檔案的位置。
勾選開啟電源時連線。
儲存變更並開啟虛擬機器的電源。

重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

關閉封鎖的外部 DNS 解析模式

如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱，則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

準備工作

確保您的內部 DNS 伺服器可以解析公用 DNS 名稱，而且您的節點可以與它們通訊。

1	在 Web 瀏覽器中，開啟「混合資料安全性」節點介面（例如IP 位址/setup，https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至概觀（預設頁面）。啟用時，封鎖的外部 DNS 解析設定為是。
3	轉至信任儲存庫和 Proxy 頁面。
4	按一下檢查 Proxy 連線。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器且仍然採用此模式。否則，在您重新啟動節點並回到概觀頁面之後，封鎖的外部 DNS 解析應設定為「否」。

下一步

在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

移除節點

使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後，請刪除虛擬機器以防止進一步存取您的安全性資料。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機，並關閉虛擬機器。

移除節點：

登入 Control Hub，然後選取服務。
在混合資料安全性卡片上，按一下檢視全部以顯示「混合資料安全性資源」頁。
選取您的叢集以顯示其概觀面板。
按一下開啟節點清單。
在節點標籤上，選取要移除的節點。
按一下動作>取消註冊節點。

在 vSphere 用戶端中，刪除VM。（在左側導覽窗格中，按右鍵一下VM ，然後按一下刪除。）

如果您不刪除VM，請記住解除掛載ISO設定檔案。如果沒有ISO檔案，您將無法使用VM來存取安全性資料。

使用待機資料中心進行災害復原

若災害導致主資料中心中的 HDS 部署不可用，請遵循此流程以手動故障轉移至備用資料中心。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。進行此設定後，節點即可處理流量。


passiveMode: 'false'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 輸出，以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

下一步

在容錯移轉後，如果主資料中心再次變為活躍狀態，請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原。

（可選）在 HDS 配置後解除掛載ISO

標準 HDS 組態在安裝ISO的情況下執行。但是，有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

準備工作

將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

1	關閉其中一個 HDS 節點。
2	在 vCenter Server Appliance 中，選取 HDS 節點。
3	選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案。
4	開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。
5	依次為每個 HDS 節點重複此操作。

混合資料安全性疑難排解

檢視警示和疑難排解

無法建立新空間（無法建立新鍵）
訊息和空間標題無法解密：
- 新使用者新增至空間（無法擷取金鑰）
- 使用新用戶端的空間中的現有使用者（無法擷取金鑰）
空間中的現有使用者將繼續成功執行，只要其用戶端具有加密金鑰的快取

請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

警示

如果混合資料安全性設定有問題，Control Hub 會向組織管理員顯示警示，並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

表 1. 常見問題及解決問題的步驟
警示	動作
本端資料庫存取失敗。	檢查是否存在資料庫錯誤或本地網路問題。
本機資料庫連線失敗。	檢查資料庫伺服器是否可用，以及在節點設定中使用了正確的服務帳戶憑證。
存取雲端服務失敗。	檢查節點是否可以存取中指定的Webex伺服器外部連線需求。
正在更新雲端服務註冊。	已刪除對雲端服務的註冊。進行中重新註冊註冊。
雲端服務註冊已刪除。	向雲端服務的註冊已終止。服務正在關閉。
服務尚未啟動。	啟用試用服務，或完成將試用服務移至生產環境。
設定的網域與伺服器憑證不相符。	請確保您的伺服器憑證符合設定的服務啟動網域。最可能的原因是憑證 CN 最近已變更，現在與初始設定期間使用的 CN 不同。
無法針對雲端服務進行驗證。	檢查服務帳戶認證的準確性及是否可能過期。
無法開啟本機金鑰儲存區檔案。	檢查本機金鑰存放區檔案的完整性和密碼準確度。
本機伺服器憑證無效。	檢查伺服器憑證的到期日，並確認它是由受信任的憑證授權單位核發的。
無法公佈指標。	檢查對外部雲端服務的本地網路存取。
/media/configDrive/hds 目錄不存在。	檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

混合資料安全性疑難排解

當對混合資料安全性問題進行疑難排解時，請使用以下一般準則。

1	複查 Control Hub 中的任何警示，並修正您在其中找到的任何項目。
2	複查 syslog 伺服器輸出，以了解混合資料安全性部署中的活動。
3	聯絡Cisco 支援。

其他附註

混合資料安全性的已知問題

如果您關閉「混合資料安全性」叢集（在 Control Hub 中刪除該叢集或關閉所有節點）、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權，則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式，因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間（可能是一個小時）。當使用者成為混合資料安全性試用服務的成員時，該使用者的用戶端會繼續使用現有的 ECDH 連線，直到其逾時為止。或者，使用者可以登出並重新登入Webex應用程式，以更新應用程式聯絡以尋求加密金鑰的位置。

當您將組織的試用服務移至生產時，會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務，直到 ECDH 連線被重新協商（透過逾時或登出再登入）。

使用 OpenSSL 產生 PKCS12 檔案

準備工作

OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具，以便在 HDS 設定工具中載入。可使用其他方式執行此操作，我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL，我們將提供此程序作為準則，協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求，然後再繼續。
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時，開始執行此流程。

1	當您從 CA 收到伺服器憑證時，將其另存為 `hdsnode.pem` 。
2	將憑證顯示為文字，並驗證詳細資料。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文字編輯器建立一個名為 `hdsnode-bundle.pem` 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證，格式如下： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用易記名稱建立 .p12 檔案 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	檢查伺服器憑證詳細資料。 `openssl pkcs12 -in hdsnode.p12` 在提示時輸入密碼以加密私密金鑰，使其在輸出中列出。然後，驗證私密金鑰和第一個憑證是否包含以下行 `friendlyName: kms-private-key`。範例： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合資料安全性的先決條件。您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼，在為 HDS 主機建立設定ISO 。

當原始憑證過期時，您可以重複使用這些檔案來請求新憑證。

HDS 節點與雲端之間的流量

輸出指標收集流量

入埠流量

混合資料安全性節點從Webex雲端接收以下類型的入埠流量：

來自用戶端的加密請求，由加密服務路由
升級至節點軟體

設定 Squid Proxy 以實現混合資料安全

Websocket 無法透過 Squid Proxy 連線

Squid 4 和 5

新增 on_unsupported_protocol 指示為 squid.conf ：

on_unsupported_protocol tunnel all

Squid 3.5.27

我們成功測試了混合資料安全性，其中新增了以下規則 squid.conf 。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新的和變更的資訊

日期

進行的變更

2023 年 10 月 20 日

已更新中的資訊資料庫伺服器需求。
新增設定備用資料中心以進行災害復原。
已更新中的資訊用於災害復原的備用資料中心和使用待機資料中心進行災害復原。

2023 年 8 月 7 日

已在中新增附註下載安裝檔案。
已在中新增附註為 HDS 主機建立設定ISO和變更節點組態。

2023 年 5 月 23 日

已刪除的資訊來自資料庫伺服器需求透過聯絡客戶團隊請求啟用功能。
已更新中的資訊外部連線需求並將加拿大新增至 CI 主持人表格。
已在中新增附註對部署混合資料安全性的預期關於無法將金鑰移回雲端的機制的問題。

2022 年 12 月 6 日

HDS 設定工具影像現在託管在 ciscocitg dockerhub 存放庫。
已更新為 HDS 主機建立設定ISO和變更節點組態主題，以反映指令中的變更。

2022 年 11 月 23 日

HDS 節點現在可以針對Microsoft SQL Server 使用 Windows 驗證。

更新了資料庫伺服器需求主題，並了解此驗證模式的其他需求。

已更新為 HDS 主機建立設定ISO以及在節點上設定 Windows 驗證的過程。
更新了資料庫伺服器需求具有新的最低必需版本 (PostgreSQL 10) 的主題。

2021 年 10 月 13 日

Docker Desktop 需要先執行設定程式，然後才能安裝 HDS 節點。請參閱Docker 桌面需求。

2021 年 6 月 24 日

注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

2021 年 4 月 30 日

已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求獲取詳細資訊。

2021 年 2 月 24 日

HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

2021 年 2 月 2 日

HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

2021 年 1 月 11 日

新增了有關 HDS 設定工具和 Proxy 的資訊，為 HDS 主機建立設定ISO 。

2020 年 10 月 13 日

已更新下載安裝檔案。

2020 年 10 月 8 日

已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。

2020 年 8 月 14 日

已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。

2020 年 8 月 5 日

已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

已更新虛擬主機需求以移除數目上限的主機。

2020 年 6 月 16 日

已更新移除節點了解 Control Hub UI 中的變更。

2020 年 6 月 4 日

已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

2020 年 5 月 29 日

已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

2020 年 5 月 5 日

已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

2020 年 4 月 21 日

已更新外部連線需求與新的美洲 CI 主機搭配。

2020 年 4 月 1 日

已更新外部連線需求包含有關區域 CI 主機的資訊。

2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。

2020 年 2 月 4 日已更新Proxy 伺服器需求。

2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。

2019 年 11 月 19 日

在以下章節中新增了有關已封鎖外部DNS解析模式的資訊：

Proxy 支援
設定 HDS 節點以進行 Proxy 整合
關閉封鎖的外部 DNS 解析模式

2019 年 11 月 8 日

現在，您可以在部署 OVA 時而不是在部署之後為節點網路設定。

已相應地更新了下列章節：

混合資料安全性部署任務流程
安裝 HDS 主機 OVA
設定混合資料安全VM

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

2019 年 9 月 6 日

新增SQL Server Standard 至資料庫伺服器需求。

2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄，其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。

2019 年 8 月 20 日

新增和更新了章節，以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

Proxy 支援
Proxy 伺服器要求
設定 HDS 節點以進行 Proxy 整合

若要僅存取現有部署的 Proxy 支援內容，請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

2019 年 6 月 13 日已更新試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步，則在開始試用之前先刪除群組物件。

2019 年 3 月 6 日

將需求和先決條件移至單獨的章節，準備環境。
新增了混合資料安全性部署任務流程章中的概觀設定混合資料安全叢集。

請注意，在您開始試用之前（使用後續章節中的指示）您的節點會產生警報，指出您的服務尚未啟動。
新增了試用到生產任務流程在章節中執行試用並移至生產。

2019 年 2 月 28 日

已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB，以反映 OVA 建立的磁碟大小。

2019 年 2 月 26 日

混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線，以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO並附有指示。
從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex： Webex Teams 服務的網路要求。

2019 年 1 月 24 日

Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

2018 年 11 月 5 日

新增了預備步驟來清理中的任何現有 Docker HDS 實例為 HDS 主機建立設定ISO和變更節點組態。
更新了中的金鑰存取層級步驟為 HDS 主機建立設定ISO以符合介面。

2018 年 10 月 19 日

將防火牆連線資訊分成中的節點需求和ISO組態機器需求完成混合資料安全性的先決條件。

2018 年 7 月 31 日

新增連接埠 22（SSH 存取）及有關 NAT 和防火牆連線的資訊，完成混合資料安全性的先決條件。

2018 年 5 月 21 日

變更了術語以反映Cisco Spark的品牌更名：

Cisco Spark混合資料安全性現已更名為混合資料安全性。
Cisco Spark應用程式現在更名為Webex App 應用程式。
Cisco Collaboration Cloud 現已更名為Webex Cloud。

2018 年 4 月 11 日

新增用於災害復原的備用資料中心。
已更新完成混合資料安全性的先決條件指定該備份環境應該位於其他資料中心。
已更新使用待機資料中心進行災害復原。

2018 年 2 月 22 日

新增了有關服務帳戶密碼 9 個月的使用期限以及使用 HDS 設定工具重設服務帳戶密碼的資訊，為 HDS 主機建立設定ISO和變更節點組態。

2018 年 2 月 15 日

在X.509 憑證需求表，指定憑證不能是萬用憑證，且 KMS 使用 CN 網域，而不是 x.509v3 SAN 欄位中定義的任何網域。

2018 年 1 月 18 日

新增了附錄， HDS 節點與雲端之間的流量。
移除了已解決的問題，混合資料安全性的已知問題。
已將 index.docker.io 變更為 *.docker.io，並將 *.cloudfront.net 新增至中 HDS 節點的TCP連線需求清單完成混合資料安全性的先決條件。
已更新為 HDS 主機建立設定ISO表示如果資料庫主機和 Syslogd 伺服器不能從 HDS 節點DNS，您必須使用IP位址來設定它們。

2017 年 11 月 2 日

釐清了 Hds TrialGroup 的目錄同步。
修正了上傳ISO組態檔以掛載到VM節點的指示。

2017 年 8 月 18 日

首次公佈

混合資料安全性入門

混合資料安全性概觀

安全性領域架構

Webex雲端架構將不同類型的服務分成不同的領域或信任網域，如下所述。

用戶端建立與金鑰管理服務 (KMS) 的安全連線，然後請求金鑰來加密訊息。安全連線使用 ECDH，KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務，由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。

與其他組織協作

對部署混合資料安全性的預期

混合資料安全性部署需要大量客戶，並且需要了解擁有加密金鑰帶來的風險。

若要部署混合資料安全性，您必須提供：

位於以下國家/地區的安全資料中心： Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。

管理資料庫及設定ISO的備份與復原。
準備在發生災害（例如資料庫磁碟故障或資料中心災害）時執行快速災害復原。

沒有任何機制可在部署 HDS 後將金鑰移回雲端。

高階設定過程

此文件涵蓋「混合資料安全性」部署的設定和管理：

設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體，與處於試用模式的使用者子集一起測試您的部署，以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援，並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知，並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題，本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

混合資料安全性部署模式

在企業資料中心內，您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

混合資料安全性部署模式

當您在 Control Hub 中註冊節點時，節點即會變為活躍狀態。若要使個別節點停止服務，您可以將其取消註冊，然後在需要時重新註冊。

每個組織僅支援一個叢集。

混合資料安全性試用模式

用於災害復原的備用資料中心

在部署期間，您"安裝;設定"安全待命資料中心。如果資料中心發生災害，您可以手動將部署故障轉移至備用資料中心。

作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

設定備用資料中心以進行災害復原

請遵循下列步驟來設定備用資料中心的ISO檔案：

準備工作

備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如，如果生產環境有 3 個 VM 執行 HDS 節點，則備份環境應該有 3 個 VM。（請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。）
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

ISO檔案必須是主資料中心的原始ISO檔案的副本，要在其上進行以下設定更新。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，請在下面新增設定以將節點設定為被動模式。在此模式下，節點將向組織註冊並連線至雲端，但不會處理任何流量。


passiveMode: 'true'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

下一步

Proxy 支援

混合資料安全節點支援以下 Proxy 選項：

無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是，節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。若要設定明確 Proxy，您必須在每個節點上輸入以下資訊：
1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容，從以下通訊協定中選擇：
  - HTTP — 檢視並控制用戶端傳送的所有請求。
  - HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
4. 驗證類型 — 從以下驗證類型中選擇：
  - 無 — 無需進一步驗證。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
  - 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。
  - 摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。
    
    僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

已封鎖外部 DNS 解析模式（明確 Proxy 設定）

準備您的環境

混合資料安全性的需求

Cisco Webex授權需求

若要部署混合資料安全性：

您必須安裝Cisco Webex Control Hub的專業版 Pack。（請參閱https://www.cisco.com/go/pro-pack。）

Docker 桌面需求

X.509 憑證需求

憑證鏈結必須符合下列需求：

表 1. 混合資料安全性部署的 X.509 憑證需求
需求	詳細資訊
由受信任的憑證授權單位(CA) 簽署	依預設，我們信任 Mozilla 清單中的 CA（WoSign 和 StartCom 除外），https://wiki.mozilla.org/CA:IncludedCAs 。
帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱不是萬用憑證	不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱，例如， `hds.company.com` 。 CN 不能包含 *（萬用字元）。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己，而不是使用 x.509v3 SAN 欄位中定義的任何網域。當您使用此憑證註冊節點後，我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。
非 SHA1 簽章	KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。
已格式化為受密碼保護的 PKCS #12 檔案使用的易記名稱： `kms-private-key` 標記憑證、私密金鑰以及要上傳的任何中間憑證。	您可以使用轉換器（例如 OpenSSL）來變更憑證的格式。當您執行 HDS 設定工具時，您將需要輸入密碼。

虛擬主機需求

您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求：

至少有兩個獨立的主機（建議 3 個）共置在同一個安全資料中心
VMware ESXi 6.5（或更高版本）已安裝且正在執行。

如果您具有較舊的 ESXi 版本，則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

資料庫伺服器需求

建立金鑰儲存的新資料庫。請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

資料庫伺服器有兩個選項。每個項目的需求如下：

表格 2. 依資料庫類型排列資料庫伺服器需求

Postgres

Microsoft SQL Server

已安裝且正在執行 PostgreSQL 14、15 或 16。

已安裝SQL Server 2016、2017 或 2019（企業版或標準版）。

SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過（如果您想要長時間執行資料庫而無需增加儲存體，則建議使用 2 TB）

HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

Postgres

Microsoft SQL Server

Postgres JDBC 驅動程式 42.2.5

SQL Server JDBC 驅動程式 4.6

此驅動程式版本支援SQL Server Always On（永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。

針對Microsoft SQL Server 的 Windows 驗證的其他需求

如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權，則需要在您的環境中進行以下設定：

HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。

HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時，他們會使用您ISO設定的詳細資料來構造 SPN。

外部連線需求

設定您的防火牆，以允許 HDS 應用程式進行以下連線：

應用程式	通訊協定	連接埠	來自應用程式的方向	目標
混合資料安全節點	TCP	443	出埠 HTTPS 和 WSS	Webex伺服器： .wbx2.com .ciscospark.com 所有通用身份識別主持人中針對混合資料安全性列出的其他 URL： Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求
HDS 設定工具	TCP	443	出埠 HTTPS	*.wbx2.com 所有通用身份識別主持人 Hub.docker.com

通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機：

地區	通用身份識別主持人 URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
歐盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy 伺服器要求

我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

透通 Proxy — Cisco 網路安全設備 (WSA)。

明確 Proxy — Squid。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。若要解決此問題，請參閱設定 Squid Proxy 以實現混合資料安全性。

我們支援明確 Proxy 的以下驗證類型組合：
- 不使用 HTTP 或 HTTPS 進行驗證
- 使用 HTTP 或 HTTPS 進行基本驗證
- 僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy，您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題，請略過（而非檢查）流量至 wbx2.com 和 ciscospark.com 將解決問題。

完成混合資料安全性的先決條件

使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。

為您的 HDS 部署選擇網域名稱（例如， hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合 X.509 憑證需求。

根據以下要求，準備將充當叢集主要資料存放區區的資料資料庫伺服器：資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

建立金鑰儲存用的資料庫。（您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。）
收集節點將用來與資料庫伺服器通訊的詳細資料：
- 主持人名稱或IP 位址(host) 和通訊埠
- 用於金鑰儲存的資料庫名稱 (dbname)
- 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠（預設值為UDP 514）。

因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰，所以無法維持可運作的部署將導致無法復原的遺失該內容的。

請確保您的防火牆設定允許「混合資料安全性」節點的連線，如中所述。外部連線需求。

若要安裝並執行 HDS 設定工具，本機必須具有外部連線需求。

如果您要整合 Proxy 與混合資料安全性，請確保它符合Proxy 伺服器需求。

設定混合資料安全叢集

混合資料安全性部署任務流程

準備工作

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

完成叢集設定。

執行試用並移至生產（下一章）

在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下載安裝檔案

在此工作中，您將 OVA 檔案下載至您的機器（而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器）。您稍後將在安裝過程中使用此檔案。

登入https://admin.webex.com，然後按一下服務。

在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下設定。

較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

選取無以指示您尚未"安裝;設定"該節點，然後按一下下一個。

OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。

（可選）按一下開啟部署指南以檢查是否有本指南可用的較新版本。

為 HDS 主機建立設定ISO

「混合資料安全性」設定過程會建立ISO檔案。然後，您可以使用ISO來設定您的「混合資料安全性」主機。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時，都需要此檔案的最新副本：
- 資料庫認證
- 憑證更新
- 授權原則的變更
如果您計劃加密資料庫連線，請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

在機器的指令行中，輸入適合您環境的指令：

在一般環境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。

若要登入 Docker 映像登錄，請輸入下列項目：

docker login -u hdscustomersro

在密碼提示中，輸入此雜湊：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下載適用於您環境的最新穩定映像：

在一般環境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker pull ciscocitg/hds-setup-fedramp:stable

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

使用 Web 瀏覽器轉至本地主機， http://127.0.0.1:8080 ，並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後，此工具會顯示標準登入提示。

提示時，輸入 Control Hub 客戶管理員登入認證，然後按一下登入以允許存取「混合資料安全性」所需的服務。

在設定工具概觀頁上，按一下開始使用。

於ISO匯入頁面上，您有下列選項：

無— 如果您要建立第一個 HDS 節點，則您沒有要上傳的ISO檔案。
是- 如果您已建立 HDS 節點，則您在瀏覽中選取ISO檔案並上傳。

檢查您的 X.509 憑證是否符合X.509 憑證需求。

如果您之前從未上傳過憑證，請上傳 X.509 憑證，輸入密碼，然後按一下繼續。
如果您的憑證確定，請按一下繼續。
如果您的憑證已過期或您要取代它，請選取無為繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎？。上傳新的 X.509 憑證，輸入密碼，然後按一下繼續。

輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區：

選取您的資料庫類型（ Postgres或Microsoft SQL Server )。

如果您選擇Microsoft SQL Server ，您會獲得一個驗證類型欄位。
（ Microsoft SQL Server僅））選取您的驗證類型：
- 基本驗證：您需要一個本機SQL Server帳戶名稱，使用者名稱欄位。
- Windows 驗證：您需要一個 Windows 帳戶，格式為 username@DOMAIN 在使用者名稱欄位。
在以下表格中輸入資料庫伺服器位址 <hostname>:<port> 或 <IP-address>:<port> 。

範例：
dbhost.example.org:1433 或 198.51.100.17:1433

如果節點無法使用DNS來解析主機名稱，您可以使用IP 位址進行基本驗證。

如果使用的是 Windows 驗證，則必須輸入以下格式的完整網域名稱： dbhost.example.org:1433
輸入資料庫名稱。
輸入使用者名稱和密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

選取一個TLS資料庫連線模式：

模式

說明

偏好使用 TLS （預設選項）

HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ，節點會嘗試進行加密連線。

需要 TLS

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。

需要 TLS 並驗證憑證簽署者

此模式不適用於SQL Server 資料庫。

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

需要 TLS 並驗證憑證簽署者和主機名稱

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。
節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。名稱必須完全相符，否則節點將斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

在系統記錄頁上，設定您的 Syslogd 伺服器：

輸入 syslog 伺服器URL。

如果無法從 HDS 叢集的節點DNS伺服器，請在URL中使用IP 位址。

範例：
udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
如果您將伺服器"安裝;設定"為使用TLS加密，請勾選您的 syslog 伺服器是否設定為使用SSL加密？。

如果勾選此勾選方塊，請確保輸入一個TCP URL ，例如 tcp://10.92.43.23:514 。
從選擇 syslog 記錄終止下拉清單，請為您的ISO檔案選擇適當的設定：選擇或換行用於 Graylog 和 Rsyslog TCP
- 空值位元組 -- \x00
- 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。
按一下繼續。

（可選）您可以在中變更某些資料庫連線參數的預設值：進階設定。一般而言，您可能只需要變更此參數：

app_datasource_connection_pool_maxSize: 10

按一下繼續位於重設服務帳戶密碼螢幕。

服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時，使用此螢幕。

按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

在您的本地系統上製作ISO檔案的備份。

確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

若要關閉安裝工具，請鍵入 CTRL+C 。

下一步

我們從不擁有此金鑰的副本，如果您遺失了它，我們將無能為力。

安裝 HDS 主機 OVA

使用此流程可從 OVA 檔案建立虛擬機器。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

選取檔案>部署 OVF 範本。

在精靈中，指定您之前下載的 OVA 檔案的位置，然後按一下下一個。

於選取名稱和資料夾頁面上，輸入虛擬機器名稱用於節點（例如「HDS_否ode_1")，選擇虛擬機器節點部署可駐留的位置，然後按一下下一個。

於選取計算資源頁面上，選擇目標計算資源，然後按一下下一個。

執行驗證檢查。完成後，會出現範本詳細資料。

驗證範本詳細資料，然後按一下下一個。

如果您被要求在設定頁面，按一下4 個CPU然後按一下下一個。

於選取儲存空間頁面，按一下下一個接受預設磁碟格式和VM儲存原則。

於選取網路頁面上，從項目清單中選擇網路選項以提供所需的VM連線。

於自訂範本頁面，設定下列網路設定：

主機名稱— 輸入節點的 FQDN（主機名稱和網域）或單字主機名稱。

您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
若要確保成功註冊雲端，請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。
FQDN 的總長度不得超過 64 個字元。

IP位址— 輸入節點內部介面的IP 位址。

您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如， 255.255.255.0 。
閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
DNS伺服器— 輸入以逗號分隔的DNS伺服器清單，該伺服器負責將網域名稱轉換為數字IP位址。（最多允許 4 個DNS項目。）
NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。

將所有節點部署在相同的子網路或VLAN上，以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

如果願意，您可以跳過網路設定，並遵循設定混合資料安全VM以從節點主控台配置設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

在節點VM上按一下滑鼠右鍵，然後選擇電源>開啟電源。

混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

疑難排解提示

在節點容器啟動之前，您可能會遇到幾分鐘延遲。首次啟動期間，橋接器防火牆訊息會出現在主控台上，在此期間您無法登入。

設定混合資料安全VM

1	在 VMware vSphere 用戶端中，選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示，請按 Enter 鍵。
2	使用以下預設登入和密碼來登入和變更認證：登入： `admin` 密碼： `cisco` 由於您是首次登入VM ，因此您必須變更管理員密碼。
3	如果您已在中網路設定安裝 HDS 主機 OVA ，請跳過此程序的其餘部分。否則，在主功能表表中，選取編輯設定選項。
4	使用IP 位址、遮罩、閘道和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
5	（可選）視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
6	儲存網路組態設定並重新啟動VM以使變更生效。

上傳並裝載 HDS 設定ISO

使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

準備工作

從您的電腦上傳ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，按一下 ESXi 伺服器。
在組態標籤的硬體清單中，按一下儲存。
在資料儲存區清單中，按右鍵一下 VM 的資料儲存區，然後按一下瀏覽資料儲存區。
按一下上傳檔案圖示，然後按一下上傳檔案。
瀏覽到您在電腦上下載ISO檔案的位置，然後按一下開啟。
按一下是接受上傳/下載操作警告，並關閉資料存放區對話。

裝載ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下確定接受受限編輯選項警告。
按一下 CD/DVD Drive 1 ，選取從資料儲存區ISO檔案裝載的選項，然後瀏覽到您上傳設定ISO檔案的位置。
檢查已連線和開啟電源時連接。
儲存變更並重新啟動虛擬機器。

下一步

如果您的 IT 策略需要，您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

設定 HDS 節點以進行 Proxy 整合

準備工作

請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
Proxy 伺服器要求

1	輸入 HDS 節點設定URL `https://[HDS Node IP or FQDN]/setup` 在 Web 瀏覽器中，輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至信任儲存庫和 Proxy，然後選擇一個選項：無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定，但是，HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。明確 Proxy — 可使用明確 Proxy 告知用戶端（HDS 節點）使用哪個 Proxy 伺服器，並且此選項支援多種驗證類型。選擇此選項後，您必須輸入以下資訊： Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。 Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。 Proxy 通訊協定 — 選擇 http（檢視和控制從用戶端收到的所有請求）或 https（提供通往伺服器的通道，且用戶端接收並驗證伺服器的憑證）。根據 Proxy 伺服器支援的內容來選擇一個選項。驗證類型 — 從以下驗證類型中選擇：無 — 無需進一步驗證。適用於 HTTP 或 HTTPS Proxy。基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。適用於 HTTP 或 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。僅適用於 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy，請遵循後續步驟進行操作。
3	按一下上傳根憑證或最終實體憑證，然後導覽以選擇 Proxy 的根憑證。憑證已上傳但尚未安裝，因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊，或者，如果您失誤並想重新上傳檔案，則按一下刪除。
4	按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。如果連線測驗失敗，您將看到一則錯誤訊息，顯示錯誤原因以及如何更正問題。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定，且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤，請完成以下步驟，然後請參閱關閉「封鎖的外部DNS解析模式」。
5	連線測驗通過後，針對僅設為 https 的明確 Proxy，請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。
6	按一下將所有憑證安裝到信任儲存庫（顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy）或重新啟動（顯示給 HTTP 明確 Proxy），閱讀提示，然後在準備妥當後按一下安裝。節點會在幾分鐘內重新啟動。
7	節點重新啟動後，如有需要，請再次登入，然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題，則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

註冊叢集中的第一個節點

此工作採用您在設定混合資料安全VM ，向Webex雲端註冊節點，並將其轉換為「混合資料安全性」節點。

註冊第一個節點時，您會建立將獲指定節點的叢集。叢集包含一個或多個節點，為提供備援而部署。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	登入 https://admin.webex.com。
2	從螢幕左側的功能表中，選取服務。
3	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。出現「註冊混合資料安全節點」頁。
4	選取是以表示您已"安裝;設定"節點並準備註冊它，然後按一下下一個。
5	在第一個欄位中，輸入您要向其指派「混合資料安全性」節點的叢集的名稱。我們建議您根據叢集節點所在的地理位置來命名叢集。譬如：「舊金山」或「紐約」或「達拉斯」
6	在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。此IP 位址或 FQDN 應該符合您在中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。將出現一則訊息，指出您可以向Webex註冊您的節點。
7	按一下移至節點。
8	按一下警告訊息中的繼續。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向Webex組織授予權限，以存取您的節點。
9	檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
10	按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。於混合資料安全性頁面上，會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

建立並註冊更多節點

若要向叢集新增其他節點，您只需建立其他 VM 並裝載相同的ISO設定檔案，然後註冊節點。我們建議您至少有 3 個節點。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	從 OVA 建立新的虛擬機器，重複中的步驟安裝 HDS 主機 OVA 。
2	在新的VM上設定初始設定，重複中的步驟設定混合資料安全VM 。
3	在新的VM上，重複中的步驟上傳並裝載 HDS 設定ISO 。
4	如果要為部署設定 Proxy，請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。
5	註冊節點。輸入https://admin.webex.com，選取服務從螢幕左側的功能表中。在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下資源。出現「混合資料安全性資源」頁。按一下新增資源。在第一個欄位中，選取現有叢集的名稱。在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。系統將顯示一則訊息，指出您可以將節點註冊到Webex雲端。按一下移至節點。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向組織授予權限，以存取您的節點。檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。您的節點已註冊。請注意，在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下一步

執行試用並移至生產（下一章）

執行試用並移至生產

試用到生產任務流程

"安裝;設定"「混合資料安全性」叢集後，您可以開始試用，向其中新增使用者，並開始使用它來測試和驗證您的部署，為移至生產環境做準備。

準備工作

1	如果適用，請同步 `HdsTrialGroup` 群組物件。如果您的組織為使用者使用目錄同步，則您必須選取 `HdsTrialGroup` 群組物件以同步到雲端，然後才能開始試用。如需相關指示，請參閱 Cisco目錄連接器的部署指南。
2	啟動試用服務開始試用服務。在您執行此工作之前，您的節點會產生警報，指出服務尚未啟動。
3	測驗您的混合資料安全性部署檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。
4	監控混合資料安全性運行狀況檢查狀態，並"安裝;設定"的電子郵件通知。
5	在試用服務中新增或移除使用者
6	使用下列動作之一完成試用階段：從試用服務移至生產環境在不移至生產的情況下結束試用服務

啟動試用服務

準備工作

1	登入https://admin.webex.com，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下開始試用。服務狀態變更為試用模式。
4	按一下新增使用者並輸入一個或多個使用者的電子郵件地址，以試用您的「混合資料安全性」節點用於加密和索引服務。（若您的組織使用目錄同步，請使用Active Directory來管理試用群組， `HdsTrialGroup`.)

測驗您的混合資料安全性部署

使用此流程來測試「混合資料安全性」加密情境。

準備工作

設定您的「混合資料安全性」部署。
啟用試用服務，並新增多個試用服務使用者。
請確保您有權存取 syslog，以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式，然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

如果您停用「混合資料安全性」部署，則一旦取代了用戶端快取的加密金鑰副本，就無法再存取由試用使用者建立的空間中的內容。

傳送訊息至新空間。

檢查 syslog 輸出，以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

若要檢查是否有使用者首先建立通往 KMS 的安全通道，請篩選 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION：

您應該會找到如下所示的項目（為便於閱讀而縮短了標識符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

若要檢查是否有使用者從 KMS 請求現有金鑰，請篩選 kms.data.method=retrieve 和 kms.data.type=KEY：

您應該會找到一個類似的項目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

若要檢查是否有使用者請求建立新的 KMS 金鑰，請篩選 kms.data.method=create 和 kms.data.type=KEY_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

您應該會找到一個類似的項目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

監控混合資料安全性運行狀況

1	輸入Control Hub ，選取服務從螢幕左側的功能表中。
2	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。隨即顯示混合資料安全性設定頁面。
3	在電子郵件通知區段中，鍵入以逗號分隔的一個或多個電子郵件地址，然後按輸入。

在試用服務中新增或移除使用者

在您啟動試用服務並新增初始試用使用者集後，您可以在試用服務有效期間隨時新增或移除試用成員。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區域的試用模式區段中，按一下新增使用者，或按一下檢視及編輯以從試用服務中移除使用者。
4	輸入要新增的一個或多個使用者的電子郵件地址，或按一下X透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。

從試用服務移至生產環境

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下移至生產環境。
4	確認您要將所有使用者移至生產環境。

在不移至生產的情況下結束試用服務

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在停用區段中，按一下停用。
4	確認您要停用服務並結束試用服務。

管理您的 HDS 部署

管理 HDS 部署

使用這裡描述的任務來管理您的「混合資料安全性」部署。

設定叢集升級排程

若要設定升級排程：

1	登入 Control Hub。
2	在概觀頁面上的混合服務下，選取混合資料安全性。
3	在「混合資料安全性資源」頁上，選取叢集。
4	在右側的概觀面板中，在叢集設定下，選取叢集名稱。
5	在「設定」頁面上的「升級」下，選取升級排程的時間和時區。附註：在「時區」下，會顯示下一可用升級日期和時間。需要的話，您可以透過按一下「延遲」，將升級延遲至次日。

變更節點組態

偶爾出於如下原因，您可能需要變更混合資料安全節點的設定：

由於到期或其他原因而變更 x.509 憑證。

我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

更新資料庫設定，以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server，反之亦然。若要切換資料庫環境，請啟動混合資料安全的新部署。

建立新的設定以準備新的資料中心。

軟重設 — 舊密碼和新密碼同時有效，最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。

如果密碼過期而不重設，則會影響您的 HDS 服務，要求立即在所有節點上硬重設和取代 ISO 檔案。

使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定（包括資料庫認證、憑證更新項目或變更授權策略）時需要 ISO。

在本端機器上使用 Docker 來執行「HDS 設定」工具。

在機器的指令行中，輸入適合您環境的指令：
在一般環境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。
若要登入 Docker 映像登錄，請輸入下列項目：
```
docker login -u hdscustomersro
```
在密碼提示中，輸入此雜湊：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下載適用於您環境的最新穩定映像：
在一般環境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

使用瀏覽器來連線 localhost，。 http://127.0.0.1:8080 。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

提示時，輸入 Control Hub 客戶登入認證，然後按一下接受以繼續作業。
匯入現行設定 ISO 檔案。
遵循提示來完成工具並下載更新檔。

若要關閉安裝工具，請鍵入 CTRL+C 。
在其他資料中心中建立已更新檔案的備份副本。

安裝 HDS 主機 OVA。
設定 HDS 虛擬機器。
安裝已更新的設定檔案。
在 Control Hub 中註冊新的節點。

針對執行較舊設定檔的現有 HDS 節點，裝載 ISO 檔案。請在每個節點上執行下列程序，更新每個節點，然後再關閉下一個節點：

關閉虛擬機器。
在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1，選取從 ISO 檔案安裝的選項，並瀏覽至您下載新設定 ISO 檔案的位置。
勾選開啟電源時連線。
儲存變更並開啟虛擬機器的電源。

重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

關閉封鎖的外部 DNS 解析模式

如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱，則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

準備工作

確保您的內部 DNS 伺服器可以解析公用 DNS 名稱，而且您的節點可以與它們通訊。

1	在 Web 瀏覽器中，開啟「混合資料安全性」節點介面（例如IP 位址/setup，https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至概觀（預設頁面）。啟用時，封鎖的外部 DNS 解析設定為是。
3	轉至信任儲存庫和 Proxy 頁面。
4	按一下檢查 Proxy 連線。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器且仍然採用此模式。否則，在您重新啟動節點並回到概觀頁面之後，封鎖的外部 DNS 解析應設定為「否」。

下一步

在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

移除節點

使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後，請刪除虛擬機器以防止進一步存取您的安全性資料。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機，並關閉虛擬機器。

移除節點：

登入 Control Hub，然後選取服務。
在混合資料安全性卡片上，按一下檢視全部以顯示「混合資料安全性資源」頁。
選取您的叢集以顯示其概觀面板。
按一下開啟節點清單。
在節點標籤上，選取要移除的節點。
按一下動作>取消註冊節點。

在 vSphere 用戶端中，刪除VM。（在左側導覽窗格中，按右鍵一下VM ，然後按一下刪除。）

如果您不刪除VM，請記住解除掛載ISO設定檔案。如果沒有ISO檔案，您將無法使用VM來存取安全性資料。

使用待機資料中心進行災害復原

若災害導致主資料中心中的 HDS 部署不可用，請遵循此流程以手動故障轉移至備用資料中心。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。進行此設定後，節點即可處理流量。


passiveMode: 'false'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 輸出，以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

下一步

在容錯移轉後，如果主資料中心再次變為活躍狀態，請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原。

（可選）在 HDS 配置後解除掛載ISO

標準 HDS 組態在安裝ISO的情況下執行。但是，有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

準備工作

將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

1	關閉其中一個 HDS 節點。
2	在 vCenter Server Appliance 中，選取 HDS 節點。
3	選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案。
4	開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。
5	依次為每個 HDS 節點重複此操作。

混合資料安全性疑難排解

檢視警示和疑難排解

無法建立新空間（無法建立新鍵）
訊息和空間標題無法解密：
- 新使用者新增至空間（無法擷取金鑰）
- 使用新用戶端的空間中的現有使用者（無法擷取金鑰）
空間中的現有使用者將繼續成功執行，只要其用戶端具有加密金鑰的快取

請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

警示

如果混合資料安全性設定有問題，Control Hub 會向組織管理員顯示警示，並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

表 1. 常見問題及解決問題的步驟
警示	動作
本端資料庫存取失敗。	檢查是否存在資料庫錯誤或本地網路問題。
本機資料庫連線失敗。	檢查資料庫伺服器是否可用，以及在節點設定中使用了正確的服務帳戶憑證。
存取雲端服務失敗。	檢查節點是否可以存取中指定的Webex伺服器外部連線需求。
正在更新雲端服務註冊。	已刪除對雲端服務的註冊。進行中重新註冊註冊。
雲端服務註冊已刪除。	向雲端服務的註冊已終止。服務正在關閉。
服務尚未啟動。	啟用試用服務，或完成將試用服務移至生產環境。
設定的網域與伺服器憑證不相符。	請確保您的伺服器憑證符合設定的服務啟動網域。最可能的原因是憑證 CN 最近已變更，現在與初始設定期間使用的 CN 不同。
無法針對雲端服務進行驗證。	檢查服務帳戶認證的準確性及是否可能過期。
無法開啟本機金鑰儲存區檔案。	檢查本機金鑰存放區檔案的完整性和密碼準確度。
本機伺服器憑證無效。	檢查伺服器憑證的到期日，並確認它是由受信任的憑證授權單位核發的。
無法公佈指標。	檢查對外部雲端服務的本地網路存取。
/media/configDrive/hds 目錄不存在。	檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

混合資料安全性疑難排解

當對混合資料安全性問題進行疑難排解時，請使用以下一般準則。

1	複查 Control Hub 中的任何警示，並修正您在其中找到的任何項目。
2	複查 syslog 伺服器輸出，以了解混合資料安全性部署中的活動。
3	聯絡Cisco 支援。

其他附註

混合資料安全性的已知問題

如果您關閉「混合資料安全性」叢集（在 Control Hub 中刪除該叢集或關閉所有節點）、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權，則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式，因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間（可能是一個小時）。當使用者成為混合資料安全性試用服務的成員時，該使用者的用戶端會繼續使用現有的 ECDH 連線，直到其逾時為止。或者，使用者可以登出並重新登入Webex應用程式，以更新應用程式聯絡以尋求加密金鑰的位置。

當您將組織的試用服務移至生產時，會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務，直到 ECDH 連線被重新協商（透過逾時或登出再登入）。

使用 OpenSSL 產生 PKCS12 檔案

準備工作

OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具，以便在 HDS 設定工具中載入。可使用其他方式執行此操作，我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL，我們將提供此程序作為準則，協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求，然後再繼續。
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時，開始執行此流程。

1	當您從 CA 收到伺服器憑證時，將其另存為 `hdsnode.pem` 。
2	將憑證顯示為文字，並驗證詳細資料。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文字編輯器建立一個名為 `hdsnode-bundle.pem` 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證，格式如下： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用易記名稱建立 .p12 檔案 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	檢查伺服器憑證詳細資料。 `openssl pkcs12 -in hdsnode.p12` 在提示時輸入密碼以加密私密金鑰，使其在輸出中列出。然後，驗證私密金鑰和第一個憑證是否包含以下行 `friendlyName: kms-private-key`。範例： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合資料安全性的先決條件。您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼，在為 HDS 主機建立設定ISO 。

當原始憑證過期時，您可以重複使用這些檔案來請求新憑證。

HDS 節點與雲端之間的流量

輸出指標收集流量

入埠流量

混合資料安全性節點從Webex雲端接收以下類型的入埠流量：

來自用戶端的加密請求，由加密服務路由
升級至節點軟體

設定 Squid Proxy 以實現混合資料安全

Websocket 無法透過 Squid Proxy 連線

Squid 4 和 5

新增 on_unsupported_protocol 指示為 squid.conf ：

on_unsupported_protocol tunnel all

Squid 3.5.27

我們成功測試了混合資料安全性，其中新增了以下規則 squid.conf 。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新的和變更的資訊

日期

進行的變更

2023 年 10 月 20 日

已更新中的資訊資料庫伺服器需求。
新增設定備用資料中心以進行災害復原。
已更新中的資訊用於災害復原的備用資料中心和使用待機資料中心進行災害復原。

2023 年 8 月 7 日

已在中新增附註下載安裝檔案。
已在中新增附註為 HDS 主機建立設定ISO和變更節點組態。

2023 年 5 月 23 日

已刪除的資訊來自資料庫伺服器需求透過聯絡客戶團隊請求啟用功能。
已更新中的資訊外部連線需求並將加拿大新增至 CI 主持人表格。
已在中新增附註對部署混合資料安全性的預期關於無法將金鑰移回雲端的機制的問題。

2022 年 12 月 6 日

HDS 設定工具影像現在託管在 ciscocitg dockerhub 存放庫。
已更新為 HDS 主機建立設定ISO和變更節點組態主題，以反映指令中的變更。

2022 年 11 月 23 日

HDS 節點現在可以針對Microsoft SQL Server 使用 Windows 驗證。

更新了資料庫伺服器需求主題，並了解此驗證模式的其他需求。

已更新為 HDS 主機建立設定ISO以及在節點上設定 Windows 驗證的過程。
更新了資料庫伺服器需求具有新的最低必需版本 (PostgreSQL 10) 的主題。

2021 年 10 月 13 日

Docker Desktop 需要先執行設定程式，然後才能安裝 HDS 節點。請參閱Docker 桌面需求。

2021 年 6 月 24 日

注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

2021 年 4 月 30 日

已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求獲取詳細資訊。

2021 年 2 月 24 日

HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

2021 年 2 月 2 日

HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

2021 年 1 月 11 日

新增了有關 HDS 設定工具和 Proxy 的資訊，為 HDS 主機建立設定ISO 。

2020 年 10 月 13 日

已更新下載安裝檔案。

2020 年 10 月 8 日

已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。

2020 年 8 月 14 日

已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。

2020 年 8 月 5 日

已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

已更新虛擬主機需求以移除數目上限的主機。

2020 年 6 月 16 日

已更新移除節點了解 Control Hub UI 中的變更。

2020 年 6 月 4 日

已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

2020 年 5 月 29 日

已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

2020 年 5 月 5 日

已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

2020 年 4 月 21 日

已更新外部連線需求與新的美洲 CI 主機搭配。

2020 年 4 月 1 日

已更新外部連線需求包含有關區域 CI 主機的資訊。

2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。

2020 年 2 月 4 日已更新Proxy 伺服器需求。

2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。

2019 年 11 月 19 日

在以下章節中新增了有關已封鎖外部DNS解析模式的資訊：

Proxy 支援
設定 HDS 節點以進行 Proxy 整合
關閉封鎖的外部 DNS 解析模式

2019 年 11 月 8 日

現在，您可以在部署 OVA 時而不是在部署之後為節點網路設定。

已相應地更新了下列章節：

混合資料安全性部署任務流程
安裝 HDS 主機 OVA
設定混合資料安全VM

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

2019 年 9 月 6 日

新增SQL Server Standard 至資料庫伺服器需求。

2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄，其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。

2019 年 8 月 20 日

新增和更新了章節，以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

Proxy 支援
Proxy 伺服器要求
設定 HDS 節點以進行 Proxy 整合

若要僅存取現有部署的 Proxy 支援內容，請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

2019 年 6 月 13 日已更新試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步，則在開始試用之前先刪除群組物件。

2019 年 3 月 6 日

將需求和先決條件移至單獨的章節，準備環境。
新增了混合資料安全性部署任務流程章中的概觀設定混合資料安全叢集。

請注意，在您開始試用之前（使用後續章節中的指示）您的節點會產生警報，指出您的服務尚未啟動。
新增了試用到生產任務流程在章節中執行試用並移至生產。

2019 年 2 月 28 日

已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB，以反映 OVA 建立的磁碟大小。

2019 年 2 月 26 日

混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線，以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO並附有指示。
從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex： Webex Teams 服務的網路要求。

2019 年 1 月 24 日

Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

2018 年 11 月 5 日

新增了預備步驟來清理中的任何現有 Docker HDS 實例為 HDS 主機建立設定ISO和變更節點組態。
更新了中的金鑰存取層級步驟為 HDS 主機建立設定ISO以符合介面。

2018 年 10 月 19 日

將防火牆連線資訊分成中的節點需求和ISO組態機器需求完成混合資料安全性的先決條件。

2018 年 7 月 31 日

新增連接埠 22（SSH 存取）及有關 NAT 和防火牆連線的資訊，完成混合資料安全性的先決條件。

2018 年 5 月 21 日

變更了術語以反映Cisco Spark的品牌更名：

Cisco Spark混合資料安全性現已更名為混合資料安全性。
Cisco Spark應用程式現在更名為Webex App 應用程式。
Cisco Collaboration Cloud 現已更名為Webex Cloud。

2018 年 4 月 11 日

新增用於災害復原的備用資料中心。
已更新完成混合資料安全性的先決條件指定該備份環境應該位於其他資料中心。
已更新使用待機資料中心進行災害復原。

2018 年 2 月 22 日

新增了有關服務帳戶密碼 9 個月的使用期限以及使用 HDS 設定工具重設服務帳戶密碼的資訊，為 HDS 主機建立設定ISO和變更節點組態。

2018 年 2 月 15 日

在X.509 憑證需求表，指定憑證不能是萬用憑證，且 KMS 使用 CN 網域，而不是 x.509v3 SAN 欄位中定義的任何網域。

2018 年 1 月 18 日

新增了附錄， HDS 節點與雲端之間的流量。
移除了已解決的問題，混合資料安全性的已知問題。
已將 index.docker.io 變更為 *.docker.io，並將 *.cloudfront.net 新增至中 HDS 節點的TCP連線需求清單完成混合資料安全性的先決條件。
已更新為 HDS 主機建立設定ISO表示如果資料庫主機和 Syslogd 伺服器不能從 HDS 節點DNS，您必須使用IP位址來設定它們。

2017 年 11 月 2 日

釐清了 Hds TrialGroup 的目錄同步。
修正了上傳ISO組態檔以掛載到VM節點的指示。

2017 年 8 月 18 日

首次公佈

混合資料安全性入門

混合資料安全性概觀

安全性領域架構

Webex雲端架構將不同類型的服務分成不同的領域或信任網域，如下所述。

用戶端建立與金鑰管理服務 (KMS) 的安全連線，然後請求金鑰來加密訊息。安全連線使用 ECDH，KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務，由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。

與其他組織協作

對部署混合資料安全性的預期

混合資料安全性部署需要大量客戶，並且需要了解擁有加密金鑰帶來的風險。

若要部署混合資料安全性，您必須提供：

位於以下國家/地區的安全資料中心： Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。

管理資料庫及設定ISO的備份與復原。
準備在發生災害（例如資料庫磁碟故障或資料中心災害）時執行快速災害復原。

沒有任何機制可在部署 HDS 後將金鑰移回雲端。

高階設定過程

此文件涵蓋「混合資料安全性」部署的設定和管理：

設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體，與處於試用模式的使用者子集一起測試您的部署，以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援，並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知，並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題，本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

混合資料安全性部署模式

在企業資料中心內，您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

混合資料安全性部署模式

當您在 Control Hub 中註冊節點時，節點即會變為活躍狀態。若要使個別節點停止服務，您可以將其取消註冊，然後在需要時重新註冊。

每個組織僅支援一個叢集。

混合資料安全性試用模式

用於災害復原的備用資料中心

在部署期間，您"安裝;設定"安全待命資料中心。如果資料中心發生災害，您可以手動將部署故障轉移至備用資料中心。

作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

設定備用資料中心以進行災害復原

請遵循下列步驟來設定備用資料中心的ISO檔案：

準備工作

備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如，如果生產環境有 3 個 VM 執行 HDS 節點，則備份環境應該有 3 個 VM。（請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。）
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

ISO檔案必須是主資料中心的原始ISO檔案的副本，要在其上進行以下設定更新。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，請在下面新增設定以將節點設定為被動模式。在此模式下，節點將向組織註冊並連線至雲端，但不會處理任何流量。


passiveMode: 'true'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

下一步

Proxy 支援

混合資料安全節點支援以下 Proxy 選項：

無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是，節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。若要設定明確 Proxy，您必須在每個節點上輸入以下資訊：
1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容，從以下通訊協定中選擇：
  - HTTP — 檢視並控制用戶端傳送的所有請求。
  - HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
4. 驗證類型 — 從以下驗證類型中選擇：
  - 無 — 無需進一步驗證。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
  - 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。
  - 摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。
    
    僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

已封鎖外部 DNS 解析模式（明確 Proxy 設定）

準備您的環境

混合資料安全性的需求

Cisco Webex授權需求

若要部署混合資料安全性：

您必須安裝Cisco Webex Control Hub的專業版 Pack。（請參閱https://www.cisco.com/go/pro-pack。）

Docker 桌面需求

X.509 憑證需求

憑證鏈結必須符合下列需求：

表 1. 混合資料安全性部署的 X.509 憑證需求
需求	詳細資訊
由受信任的憑證授權單位(CA) 簽署	依預設，我們信任 Mozilla 清單中的 CA（WoSign 和 StartCom 除外），https://wiki.mozilla.org/CA:IncludedCAs 。
帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱不是萬用憑證	不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱，例如， `hds.company.com` 。 CN 不能包含 *（萬用字元）。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己，而不是使用 x.509v3 SAN 欄位中定義的任何網域。當您使用此憑證註冊節點後，我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。
非 SHA1 簽章	KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。
已格式化為受密碼保護的 PKCS #12 檔案使用的易記名稱： `kms-private-key` 標記憑證、私密金鑰以及要上傳的任何中間憑證。	您可以使用轉換器（例如 OpenSSL）來變更憑證的格式。當您執行 HDS 設定工具時，您將需要輸入密碼。

虛擬主機需求

您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求：

至少有兩個獨立的主機（建議 3 個）共置在同一個安全資料中心
VMware ESXi 6.5（或更高版本）已安裝且正在執行。

如果您具有較舊的 ESXi 版本，則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

資料庫伺服器需求

建立金鑰儲存的新資料庫。請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

資料庫伺服器有兩個選項。每個項目的需求如下：

表格 2. 依資料庫類型排列資料庫伺服器需求

Postgres

Microsoft SQL Server

已安裝且正在執行 PostgreSQL 14、15 或 16。

已安裝SQL Server 2016、2017 或 2019（企業版或標準版）。

SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過（如果您想要長時間執行資料庫而無需增加儲存體，則建議使用 2 TB）

HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

Postgres

Microsoft SQL Server

Postgres JDBC 驅動程式 42.2.5

SQL Server JDBC 驅動程式 4.6

此驅動程式版本支援SQL Server Always On（永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。

針對Microsoft SQL Server 的 Windows 驗證的其他需求

如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權，則需要在您的環境中進行以下設定：

HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。

HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時，他們會使用您ISO設定的詳細資料來構造 SPN。

外部連線需求

設定您的防火牆，以允許 HDS 應用程式進行以下連線：

應用程式	通訊協定	連接埠	來自應用程式的方向	目標
混合資料安全節點	TCP	443	出埠 HTTPS 和 WSS	Webex伺服器： .wbx2.com .ciscospark.com 所有通用身份識別主持人中針對混合資料安全性列出的其他 URL： Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求
HDS 設定工具	TCP	443	出埠 HTTPS	*.wbx2.com 所有通用身份識別主持人 Hub.docker.com

通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機：

地區	通用身份識別主持人 URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
歐盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy 伺服器要求

我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

透通 Proxy — Cisco 網路安全設備 (WSA)。

明確 Proxy — Squid。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。若要解決此問題，請參閱設定 Squid Proxy 以實現混合資料安全性。

我們支援明確 Proxy 的以下驗證類型組合：
- 不使用 HTTP 或 HTTPS 進行驗證
- 使用 HTTP 或 HTTPS 進行基本驗證
- 僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy，您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題，請略過（而非檢查）流量至 wbx2.com 和 ciscospark.com 將解決問題。

完成混合資料安全性的先決條件

使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。

為您的 HDS 部署選擇網域名稱（例如， hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合 X.509 憑證需求。

根據以下要求，準備將充當叢集主要資料存放區區的資料資料庫伺服器：資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

建立金鑰儲存用的資料庫。（您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。）
收集節點將用來與資料庫伺服器通訊的詳細資料：
- 主持人名稱或IP 位址(host) 和通訊埠
- 用於金鑰儲存的資料庫名稱 (dbname)
- 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠（預設值為UDP 514）。

因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰，所以無法維持可運作的部署將導致無法復原的遺失該內容的。

請確保您的防火牆設定允許「混合資料安全性」節點的連線，如中所述。外部連線需求。

若要安裝並執行 HDS 設定工具，本機必須具有外部連線需求。

如果您要整合 Proxy 與混合資料安全性，請確保它符合Proxy 伺服器需求。

設定混合資料安全叢集

混合資料安全性部署任務流程

準備工作

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

完成叢集設定。

執行試用並移至生產（下一章）

在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下載安裝檔案

在此工作中，您將 OVA 檔案下載至您的機器（而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器）。您稍後將在安裝過程中使用此檔案。

登入https://admin.webex.com，然後按一下服務。

在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下設定。

較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

選取無以指示您尚未"安裝;設定"該節點，然後按一下下一個。

OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。

（可選）按一下開啟部署指南以檢查是否有本指南可用的較新版本。

為 HDS 主機建立設定ISO

「混合資料安全性」設定過程會建立ISO檔案。然後，您可以使用ISO來設定您的「混合資料安全性」主機。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時，都需要此檔案的最新副本：
- 資料庫認證
- 憑證更新
- 授權原則的變更
如果您計劃加密資料庫連線，請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

在機器的指令行中，輸入適合您環境的指令：

在一般環境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。

若要登入 Docker 映像登錄，請輸入下列項目：

docker login -u hdscustomersro

在密碼提示中，輸入此雜湊：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下載適用於您環境的最新穩定映像：

在一般環境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 環境中：

docker pull ciscocitg/hds-setup-fedramp:stable

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

使用 Web 瀏覽器轉至本地主機， http://127.0.0.1:8080 ，並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後，此工具會顯示標準登入提示。

提示時，輸入 Control Hub 客戶管理員登入認證，然後按一下登入以允許存取「混合資料安全性」所需的服務。

在設定工具概觀頁上，按一下開始使用。

於ISO匯入頁面上，您有下列選項：

無— 如果您要建立第一個 HDS 節點，則您沒有要上傳的ISO檔案。
是- 如果您已建立 HDS 節點，則您在瀏覽中選取ISO檔案並上傳。

檢查您的 X.509 憑證是否符合X.509 憑證需求。

如果您之前從未上傳過憑證，請上傳 X.509 憑證，輸入密碼，然後按一下繼續。
如果您的憑證確定，請按一下繼續。
如果您的憑證已過期或您要取代它，請選取無為繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎？。上傳新的 X.509 憑證，輸入密碼，然後按一下繼續。

輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區：

選取您的資料庫類型（ Postgres或Microsoft SQL Server )。

如果您選擇Microsoft SQL Server ，您會獲得一個驗證類型欄位。
（ Microsoft SQL Server僅））選取您的驗證類型：
- 基本驗證：您需要一個本機SQL Server帳戶名稱，使用者名稱欄位。
- Windows 驗證：您需要一個 Windows 帳戶，格式為 username@DOMAIN 在使用者名稱欄位。
在以下表格中輸入資料庫伺服器位址 <hostname>:<port> 或 <IP-address>:<port> 。

範例：
dbhost.example.org:1433 或 198.51.100.17:1433

如果節點無法使用DNS來解析主機名稱，您可以使用IP 位址進行基本驗證。

如果使用的是 Windows 驗證，則必須輸入以下格式的完整網域名稱： dbhost.example.org:1433
輸入資料庫名稱。
輸入使用者名稱和密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

選取一個TLS資料庫連線模式：

模式

說明

偏好使用 TLS （預設選項）

HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ，節點會嘗試進行加密連線。

需要 TLS

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。

需要 TLS 並驗證憑證簽署者

此模式不適用於SQL Server 資料庫。

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

需要 TLS 並驗證憑證簽署者和主機名稱

僅當資料庫伺服器可以交涉 TLS 時，HDS 節點才會連接。
建立TLS連線後，節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符，則節點會斷開連線。
節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。名稱必須完全相符，否則節點將斷開連線。

使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

在系統記錄頁上，設定您的 Syslogd 伺服器：

輸入 syslog 伺服器URL。

如果無法從 HDS 叢集的節點DNS伺服器，請在URL中使用IP 位址。

範例：
udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
如果您將伺服器"安裝;設定"為使用TLS加密，請勾選您的 syslog 伺服器是否設定為使用SSL加密？。

如果勾選此勾選方塊，請確保輸入一個TCP URL ，例如 tcp://10.92.43.23:514 。
從選擇 syslog 記錄終止下拉清單，請為您的ISO檔案選擇適當的設定：選擇或換行用於 Graylog 和 Rsyslog TCP
- 空值位元組 -- \x00
- 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。
按一下繼續。

（可選）您可以在中變更某些資料庫連線參數的預設值：進階設定。一般而言，您可能只需要變更此參數：

app_datasource_connection_pool_maxSize: 10

按一下繼續位於重設服務帳戶密碼螢幕。

服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時，使用此螢幕。

按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

在您的本地系統上製作ISO檔案的備份。

確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

若要關閉安裝工具，請鍵入 CTRL+C 。

下一步

我們從不擁有此金鑰的副本，如果您遺失了它，我們將無能為力。

安裝 HDS 主機 OVA

使用此流程可從 OVA 檔案建立虛擬機器。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

選取檔案>部署 OVF 範本。

在精靈中，指定您之前下載的 OVA 檔案的位置，然後按一下下一個。

於選取名稱和資料夾頁面上，輸入虛擬機器名稱用於節點（例如「HDS_否ode_1")，選擇虛擬機器節點部署可駐留的位置，然後按一下下一個。

於選取計算資源頁面上，選擇目標計算資源，然後按一下下一個。

執行驗證檢查。完成後，會出現範本詳細資料。

驗證範本詳細資料，然後按一下下一個。

如果您被要求在設定頁面，按一下4 個CPU然後按一下下一個。

於選取儲存空間頁面，按一下下一個接受預設磁碟格式和VM儲存原則。

於選取網路頁面上，從項目清單中選擇網路選項以提供所需的VM連線。

於自訂範本頁面，設定下列網路設定：

主機名稱— 輸入節點的 FQDN（主機名稱和網域）或單字主機名稱。

您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
若要確保成功註冊雲端，請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。
FQDN 的總長度不得超過 64 個字元。

IP位址— 輸入節點內部介面的IP 位址。

您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如， 255.255.255.0 。
閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
DNS伺服器— 輸入以逗號分隔的DNS伺服器清單，該伺服器負責將網域名稱轉換為數字IP位址。（最多允許 4 個DNS項目。）
NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。

將所有節點部署在相同的子網路或VLAN上，以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

如果願意，您可以跳過網路設定，並遵循設定混合資料安全VM以從節點主控台配置設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

在節點VM上按一下滑鼠右鍵，然後選擇電源>開啟電源。

混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

疑難排解提示

在節點容器啟動之前，您可能會遇到幾分鐘延遲。首次啟動期間，橋接器防火牆訊息會出現在主控台上，在此期間您無法登入。

設定混合資料安全VM

1	在 VMware vSphere 用戶端中，選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示，請按 Enter 鍵。
2	使用以下預設登入和密碼來登入和變更認證：登入： `admin` 密碼： `cisco` 由於您是首次登入VM ，因此您必須變更管理員密碼。
3	如果您已在中網路設定安裝 HDS 主機 OVA ，請跳過此程序的其餘部分。否則，在主功能表表中，選取編輯設定選項。
4	使用IP 位址、遮罩、閘道和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。
5	（可選）視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。
6	儲存網路組態設定並重新啟動VM以使變更生效。

上傳並裝載 HDS 設定ISO

使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

準備工作

從您的電腦上傳ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，按一下 ESXi 伺服器。
在組態標籤的硬體清單中，按一下儲存。
在資料儲存區清單中，按右鍵一下 VM 的資料儲存區，然後按一下瀏覽資料儲存區。
按一下上傳檔案圖示，然後按一下上傳檔案。
瀏覽到您在電腦上下載ISO檔案的位置，然後按一下開啟。
按一下是接受上傳/下載操作警告，並關閉資料存放區對話。

裝載ISO檔案：

在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下確定接受受限編輯選項警告。
按一下 CD/DVD Drive 1 ，選取從資料儲存區ISO檔案裝載的選項，然後瀏覽到您上傳設定ISO檔案的位置。
檢查已連線和開啟電源時連接。
儲存變更並重新啟動虛擬機器。

下一步

如果您的 IT 策略需要，您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱（可選）在 HDS 配置後解除掛載ISO獲取詳細資訊。

設定 HDS 節點以進行 Proxy 整合

準備工作

請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
Proxy 伺服器要求

1	輸入 HDS 節點設定URL `https://[HDS Node IP or FQDN]/setup` 在 Web 瀏覽器中，輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至信任儲存庫和 Proxy，然後選擇一個選項：無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址，並且不應要求進行任何變更以使用非檢查 Proxy。無需更新憑證。透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定，但是，HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。明確 Proxy — 可使用明確 Proxy 告知用戶端（HDS 節點）使用哪個 Proxy 伺服器，並且此選項支援多種驗證類型。選擇此選項後，您必須輸入以下資訊： Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。 Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。 Proxy 通訊協定 — 選擇 http（檢視和控制從用戶端收到的所有請求）或 https（提供通往伺服器的通道，且用戶端接收並驗證伺服器的憑證）。根據 Proxy 伺服器支援的內容來選擇一個選項。驗證類型 — 從以下驗證類型中選擇：無 — 無需進一步驗證。適用於 HTTP 或 HTTPS Proxy。基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。適用於 HTTP 或 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。摘要式 — 用於在傳送機密資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。僅適用於 HTTPS Proxy。如果選擇此選項，則您還必須輸入使用者名稱和密碼。針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy，請遵循後續步驟進行操作。
3	按一下上傳根憑證或最終實體憑證，然後導覽以選擇 Proxy 的根憑證。憑證已上傳但尚未安裝，因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊，或者，如果您失誤並想重新上傳檔案，則按一下刪除。
4	按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。如果連線測驗失敗，您將看到一則錯誤訊息，顯示錯誤原因以及如何更正問題。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定，且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤，請完成以下步驟，然後請參閱關閉「封鎖的外部DNS解析模式」。
5	連線測驗通過後，針對僅設為 https 的明確 Proxy，請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。
6	按一下將所有憑證安裝到信任儲存庫（顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy）或重新啟動（顯示給 HTTP 明確 Proxy），閱讀提示，然後在準備妥當後按一下安裝。節點會在幾分鐘內重新啟動。
7	節點重新啟動後，如有需要，請再次登入，然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題，則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

註冊叢集中的第一個節點

此工作採用您在設定混合資料安全VM ，向Webex雲端註冊節點，並將其轉換為「混合資料安全性」節點。

註冊第一個節點時，您會建立將獲指定節點的叢集。叢集包含一個或多個節點，為提供備援而部署。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	登入 https://admin.webex.com。
2	從螢幕左側的功能表中，選取服務。
3	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。出現「註冊混合資料安全節點」頁。
4	選取是以表示您已"安裝;設定"節點並準備註冊它，然後按一下下一個。
5	在第一個欄位中，輸入您要向其指派「混合資料安全性」節點的叢集的名稱。我們建議您根據叢集節點所在的地理位置來命名叢集。譬如：「舊金山」或「紐約」或「達拉斯」
6	在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。此IP 位址或 FQDN 應該符合您在中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。將出現一則訊息，指出您可以向Webex註冊您的節點。
7	按一下移至節點。
8	按一下警告訊息中的繼續。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向Webex組織授予權限，以存取您的節點。
9	檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
10	按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。於混合資料安全性頁面上，會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

建立並註冊更多節點

若要向叢集新增其他節點，您只需建立其他 VM 並裝載相同的ISO設定檔案，然後註冊節點。我們建議您至少有 3 個節點。

準備工作

一旦開始註冊節點，就必須在 60 分鐘內完成註冊，否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用，或者您允許 admin.webex.com 的例外。

1	從 OVA 建立新的虛擬機器，重複中的步驟安裝 HDS 主機 OVA 。
2	在新的VM上設定初始設定，重複中的步驟設定混合資料安全VM 。
3	在新的VM上，重複中的步驟上傳並裝載 HDS 設定ISO 。
4	如果要為部署設定 Proxy，請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。
5	註冊節點。輸入https://admin.webex.com，選取服務從螢幕左側的功能表中。在「混合服務」區段中，找到「混合資料安全性」卡片，然後按一下資源。出現「混合資料安全性資源」頁。按一下新增資源。在第一個欄位中，選取現有叢集的名稱。在第二個欄位中，輸入節點的內部IP 位址或完整網域名稱(FQDN)，然後按一下下一個。系統將顯示一則訊息，指出您可以將節點註冊到Webex雲端。按一下移至節點。稍待片刻後，您被重新導向至Webex服務的節點連線測試。如果所有測試都成功，會出現「允許存取混合資料安全節點」頁。在這裡，您確認要向組織授予權限，以存取您的節點。檢查允許存取您的混合資料安全節點勾選方塊，然後按一下繼續。您的帳戶已驗證，且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。您的節點已註冊。請注意，在您開始試用之前，您的節點會產生警報，指出您的服務尚未啟動。

下一步

執行試用並移至生產（下一章）

執行試用並移至生產

試用到生產任務流程

"安裝;設定"「混合資料安全性」叢集後，您可以開始試用，向其中新增使用者，並開始使用它來測試和驗證您的部署，為移至生產環境做準備。

準備工作

1	如果適用，請同步 `HdsTrialGroup` 群組物件。如果您的組織為使用者使用目錄同步，則您必須選取 `HdsTrialGroup` 群組物件以同步到雲端，然後才能開始試用。如需相關指示，請參閱 Cisco目錄連接器的部署指南。
2	啟動試用服務開始試用服務。在您執行此工作之前，您的節點會產生警報，指出服務尚未啟動。
3	測驗您的混合資料安全性部署檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。
4	監控混合資料安全性運行狀況檢查狀態，並"安裝;設定"的電子郵件通知。
5	在試用服務中新增或移除使用者
6	使用下列動作之一完成試用階段：從試用服務移至生產環境在不移至生產的情況下結束試用服務

啟動試用服務

準備工作

1	登入https://admin.webex.com，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下開始試用。服務狀態變更為試用模式。
4	按一下新增使用者並輸入一個或多個使用者的電子郵件地址，以試用您的「混合資料安全性」節點用於加密和索引服務。（若您的組織使用目錄同步，請使用Active Directory來管理試用群組， `HdsTrialGroup`.)

測驗您的混合資料安全性部署

使用此流程來測試「混合資料安全性」加密情境。

準備工作

設定您的「混合資料安全性」部署。
啟用試用服務，並新增多個試用服務使用者。
請確保您有權存取 syslog，以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式，然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

如果您停用「混合資料安全性」部署，則一旦取代了用戶端快取的加密金鑰副本，就無法再存取由試用使用者建立的空間中的內容。

傳送訊息至新空間。

檢查 syslog 輸出，以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

若要檢查是否有使用者首先建立通往 KMS 的安全通道，請篩選 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION：

您應該會找到如下所示的項目（為便於閱讀而縮短了標識符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

若要檢查是否有使用者從 KMS 請求現有金鑰，請篩選 kms.data.method=retrieve 和 kms.data.type=KEY：

您應該會找到一個類似的項目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

若要檢查是否有使用者請求建立新的 KMS 金鑰，請篩選 kms.data.method=create 和 kms.data.type=KEY_COLLECTION：

您應該會找到一個類似的項目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

您應該會找到一個類似的項目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

監控混合資料安全性運行狀況

1	輸入Control Hub ，選取服務從螢幕左側的功能表中。
2	在「混合服務」區段中，找到混合資料安全性，然後按一下設定。隨即顯示混合資料安全性設定頁面。
3	在電子郵件通知區段中，鍵入以逗號分隔的一個或多個電子郵件地址，然後按輸入。

在試用服務中新增或移除使用者

在您啟動試用服務並新增初始試用使用者集後，您可以在試用服務有效期間隨時新增或移除試用成員。

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區域的試用模式區段中，按一下新增使用者，或按一下檢視及編輯以從試用服務中移除使用者。
4	輸入要新增的一個或多個使用者的電子郵件地址，或按一下X透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。

從試用服務移至生產環境

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在服務狀態區段中，按一下移至生產環境。
4	確認您要將所有使用者移至生產環境。

在不移至生產的情況下結束試用服務

1	登入 Control Hub，然後選取服務。
2	在混合資料安全性下，按一下設定。
3	在停用區段中，按一下停用。
4	確認您要停用服務並結束試用服務。

管理您的 HDS 部署

管理 HDS 部署

使用這裡描述的任務來管理您的「混合資料安全性」部署。

設定叢集升級排程

若要設定升級排程：

1	登入 Control Hub。
2	在概觀頁面上的混合服務下，選取混合資料安全性。
3	在「混合資料安全性資源」頁上，選取叢集。
4	在右側的概觀面板中，在叢集設定下，選取叢集名稱。
5	在「設定」頁面上的「升級」下，選取升級排程的時間和時區。附註：在「時區」下，會顯示下一可用升級日期和時間。需要的話，您可以透過按一下「延遲」，將升級延遲至次日。

變更節點組態

偶爾出於如下原因，您可能需要變更混合資料安全節點的設定：

由於到期或其他原因而變更 x.509 憑證。

我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

更新資料庫設定，以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server，反之亦然。若要切換資料庫環境，請啟動混合資料安全的新部署。

建立新的設定以準備新的資料中心。

軟重設 — 舊密碼和新密碼同時有效，最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。

如果密碼過期而不重設，則會影響您的 HDS 服務，要求立即在所有節點上硬重設和取代 ISO 檔案。

使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

準備工作

說明	變數
HTTP Proxy 不含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy 不含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP Proxy 含驗證	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy 含驗證	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定（包括資料庫認證、憑證更新項目或變更授權策略）時需要 ISO。

在本端機器上使用 Docker 來執行「HDS 設定」工具。

在機器的指令行中，輸入適合您環境的指令：
在一般環境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像，則會返回錯誤，但您可加以忽略。
若要登入 Docker 映像登錄，請輸入下列項目：
```
docker login -u hdscustomersro
```
在密碼提示中，輸入此雜湊：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下載適用於您環境的最新穩定映像：
在一般環境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 環境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

提取完成後，輸入適用於您環境的指令：

在沒有 Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在具有 HTTP Proxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在具有 HTTPSProxy 的一般環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在沒有 Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在具有 HTTP Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在具有 HTTPS Proxy 的 FedRAMP 環境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

當儲存器在執行中時，您會看到「Express Server 正在連接埠 8080 上接聽」。

使用瀏覽器來連線 localhost，。 http://127.0.0.1:8080 。

設定工具不支援透過以下方式連線至本地主機： http://localhost:8080 。使用http://127.0.0.1:8080以連線至本地主機。

提示時，輸入 Control Hub 客戶登入認證，然後按一下接受以繼續作業。
匯入現行設定 ISO 檔案。
遵循提示來完成工具並下載更新檔。

若要關閉安裝工具，請鍵入 CTRL+C 。
在其他資料中心中建立已更新檔案的備份副本。

安裝 HDS 主機 OVA。
設定 HDS 虛擬機器。
安裝已更新的設定檔案。
在 Control Hub 中註冊新的節點。

針對執行較舊設定檔的現有 HDS 節點，裝載 ISO 檔案。請在每個節點上執行下列程序，更新每個節點，然後再關閉下一個節點：

關閉虛擬機器。
在 VMware vSphere 用戶端的左側導覽窗格中，用滑鼠右鍵按一下虛擬機器，然後按一下編輯設定。
按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1，選取從 ISO 檔案安裝的選項，並瀏覽至您下載新設定 ISO 檔案的位置。
勾選開啟電源時連線。
儲存變更並開啟虛擬機器的電源。

重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

關閉封鎖的外部 DNS 解析模式

如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱，則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

準備工作

確保您的內部 DNS 伺服器可以解析公用 DNS 名稱，而且您的節點可以與它們通訊。

1	在 Web 瀏覽器中，開啟「混合資料安全性」節點介面（例如IP 位址/setup，https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證，然後按一下登入。
2	轉至概觀（預設頁面）。啟用時，封鎖的外部 DNS 解析設定為是。
3	轉至信任儲存庫和 Proxy 頁面。
4	按一下檢查 Proxy 連線。如果您看到有訊息指出外部 DNS 解析不成功，則節點無法連線至 DNS 伺服器且仍然採用此模式。否則，在您重新啟動節點並回到概觀頁面之後，封鎖的外部 DNS 解析應設定為「否」。

下一步

在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

移除節點

使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後，請刪除虛擬機器以防止進一步存取您的安全性資料。

使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機，並關閉虛擬機器。

移除節點：

登入 Control Hub，然後選取服務。
在混合資料安全性卡片上，按一下檢視全部以顯示「混合資料安全性資源」頁。
選取您的叢集以顯示其概觀面板。
按一下開啟節點清單。
在節點標籤上，選取要移除的節點。
按一下動作>取消註冊節點。

在 vSphere 用戶端中，刪除VM。（在左側導覽窗格中，按右鍵一下VM ，然後按一下刪除。）

如果您不刪除VM，請記住解除掛載ISO設定檔案。如果沒有ISO檔案，您將無法使用VM來存取安全性資料。

使用待機資料中心進行災害復原

若災害導致主資料中心中的 HDS 部署不可用，請遵循此流程以手動故障轉移至備用資料中心。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。進行此設定後，節點即可處理流量。


passiveMode: 'false'

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 輸出，以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

下一步

在容錯移轉後，如果主資料中心再次變為活躍狀態，請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原。

（可選）在 HDS 配置後解除掛載ISO

標準 HDS 組態在安裝ISO的情況下執行。但是，有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

準備工作

將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

1	關閉其中一個 HDS 節點。
2	在 vCenter Server Appliance 中，選取 HDS 節點。
3	選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案。
4	開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。
5	依次為每個 HDS 節點重複此操作。

混合資料安全性疑難排解

檢視警示和疑難排解

無法建立新空間（無法建立新鍵）
訊息和空間標題無法解密：
- 新使用者新增至空間（無法擷取金鑰）
- 使用新用戶端的空間中的現有使用者（無法擷取金鑰）
空間中的現有使用者將繼續成功執行，只要其用戶端具有加密金鑰的快取

請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

警示

如果混合資料安全性設定有問題，Control Hub 會向組織管理員顯示警示，並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

表 1. 常見問題及解決問題的步驟
警示	動作
本端資料庫存取失敗。	檢查是否存在資料庫錯誤或本地網路問題。
本機資料庫連線失敗。	檢查資料庫伺服器是否可用，以及在節點設定中使用了正確的服務帳戶憑證。
存取雲端服務失敗。	檢查節點是否可以存取中指定的Webex伺服器外部連線需求。
正在更新雲端服務註冊。	已刪除對雲端服務的註冊。進行中重新註冊註冊。
雲端服務註冊已刪除。	向雲端服務的註冊已終止。服務正在關閉。
服務尚未啟動。	啟用試用服務，或完成將試用服務移至生產環境。
設定的網域與伺服器憑證不相符。	請確保您的伺服器憑證符合設定的服務啟動網域。最可能的原因是憑證 CN 最近已變更，現在與初始設定期間使用的 CN 不同。
無法針對雲端服務進行驗證。	檢查服務帳戶認證的準確性及是否可能過期。
無法開啟本機金鑰儲存區檔案。	檢查本機金鑰存放區檔案的完整性和密碼準確度。
本機伺服器憑證無效。	檢查伺服器憑證的到期日，並確認它是由受信任的憑證授權單位核發的。
無法公佈指標。	檢查對外部雲端服務的本地網路存取。
/media/configDrive/hds 目錄不存在。	檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

混合資料安全性疑難排解

當對混合資料安全性問題進行疑難排解時，請使用以下一般準則。

1	複查 Control Hub 中的任何警示，並修正您在其中找到的任何項目。
2	複查 syslog 伺服器輸出，以了解混合資料安全性部署中的活動。
3	聯絡Cisco 支援。

其他附註

混合資料安全性的已知問題

如果您關閉「混合資料安全性」叢集（在 Control Hub 中刪除該叢集或關閉所有節點）、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權，則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式，因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間（可能是一個小時）。當使用者成為混合資料安全性試用服務的成員時，該使用者的用戶端會繼續使用現有的 ECDH 連線，直到其逾時為止。或者，使用者可以登出並重新登入Webex應用程式，以更新應用程式聯絡以尋求加密金鑰的位置。

當您將組織的試用服務移至生產時，會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務，直到 ECDH 連線被重新協商（透過逾時或登出再登入）。

使用 OpenSSL 產生 PKCS12 檔案

準備工作

OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具，以便在 HDS 設定工具中載入。可使用其他方式執行此操作，我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL，我們將提供此程序作為準則，協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求，然後再繼續。
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時，開始執行此流程。

1	當您從 CA 收到伺服器憑證時，將其另存為 `hdsnode.pem` 。
2	將憑證顯示為文字，並驗證詳細資料。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文字編輯器建立一個名為 `hdsnode-bundle.pem` 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證，格式如下： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用易記名稱建立 .p12 檔案 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	檢查伺服器憑證詳細資料。 `openssl pkcs12 -in hdsnode.p12` 在提示時輸入密碼以加密私密金鑰，使其在輸出中列出。然後，驗證私密金鑰和第一個憑證是否包含以下行 `friendlyName: kms-private-key`。範例： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合資料安全性的先決條件。您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼，在為 HDS 主機建立設定ISO 。

當原始憑證過期時，您可以重複使用這些檔案來請求新憑證。

HDS 節點與雲端之間的流量

輸出指標收集流量

入埠流量

混合資料安全性節點從Webex雲端接收以下類型的入埠流量：

來自用戶端的加密請求，由加密服務路由
升級至節點軟體

設定 Squid Proxy 以實現混合資料安全

Websocket 無法透過 Squid Proxy 連線

Squid 4 和 5

新增 on_unsupported_protocol 指示為 squid.conf ：

on_unsupported_protocol tunnel all

Squid 3.5.27

我們成功測試了混合資料安全性，其中新增了以下規則 squid.conf 。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新的和變更的資訊

日期

進行的變更

2023 年 10 月 20 日

已更新中的資訊資料庫伺服器需求。
新增設定備用資料中心以進行災害復原。
已更新中的資訊用於災害復原的備用資料中心和使用待機資料中心進行災害復原。

2023 年 8 月 7 日

已在中新增附註下載安裝檔案。
已在中新增附註為 HDS 主機建立設定ISO 和變更節點組態。

2023 年 5 月 23 日

已刪除的資訊來自資料庫伺服器需求透過聯絡客戶團隊請求啟用功能。
已更新中的資訊外部連線需求並將加拿大新增至 CI 主持人表格。
已在中新增附註對部署混合資料安全性的預期關於無法將金鑰移回雲端的機制的問題。

2022 年 12 月 6 日

HDS 設定工具影像現在託管在ciscocitg dockerhub 存放庫。
已更新為 HDS 主機建立設定ISO 和變更節點組態主題，以反映指令中的變更。

2022 年 11 月 23 日

HDS 節點現在可以針對Microsoft SQL Server 使用 Windows 驗證。

更新了資料庫伺服器需求主題，並了解此驗證模式的其他需求。

已更新為 HDS 主機建立設定ISO 以及在節點上設定 Windows 驗證的過程。
更新了資料庫伺服器需求具有新的最低必需版本 (PostgreSQL 10) 的主題。

2021 年 10 月 13 日

Docker Desktop 需要先執行設定程式，然後才能安裝 HDS 節點。請參閱Docker 桌面需求。

2021 年 6 月 24 日

注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

2021 年 4 月 30 日

已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求以取得詳細資料。

2021 年 2 月 24 日

HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO 獲取詳細資訊。

2021 年 2 月 2 日

HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱（可選）在 HDS 配置後解除掛載ISO 獲取詳細資訊。

2021 年 1 月 11 日

新增了有關 HDS 設定工具和 Proxy 的資訊，為 HDS 主機建立設定ISO 。

2020 年 10 月 13 日

已更新下載安裝檔案。

2020 年 10 月 8 日

已更新為 HDS 主機建立設定ISO 和變更節點組態用於 FedRAMP 環境的指令。

2020 年 8 月 14 日

已更新為 HDS 主機建立設定ISO 和變更節點組態登入程序變更。

2020 年 8 月 5 日

已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

已更新虛擬主機需求以移除數目上限的主機。

2020 年 6 月 16 日

已更新移除節點了解 Control Hub UI 中的變更。

2020 年 6 月 4 日

已更新為 HDS 主機建立設定ISO 了解您可能設定的「進階設定」中的變更。

2020 年 5 月 29 日

已更新為 HDS 主機建立設定ISO 來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

2020 年 5 月 5 日

已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

2020 年 4 月 21 日

已更新外部連線需求與新的美洲 CI 主機搭配。

2020 年 4 月 1 日

已更新外部連線需求包含有關區域 CI 主機的資訊。

2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO 包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。

2020年2月4日已更新Proxy 伺服器需求。

2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。

2019 年 11 月 19 日

在以下章節中新增了有關已封鎖外部DNS解析模式的資訊：

Proxy 支援
設定 HDS 節點以進行 Proxy 整合
關閉封鎖的外部 DNS 解析模式

2019 年 11 月 8 日

現在，您可以在部署 OVA 時而不是在部署之後為節點網路設定。

已相應地更新了下列章節：

混合資料安全性部署任務流程
安裝 HDS 主機 OVA
設定混合資料安全VM

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

2019 年 9 月 6 日

新增SQL Server Standard 至資料庫伺服器需求。

2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄，其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。

2019 年 8 月 20 日

新增和更新了章節，以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

Proxy 支援
Proxy 伺服器要求
設定 HDS 節點以進行 Proxy 整合

若要僅存取現有部署的 Proxy 支援內容，請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

2019 年 6 月 13 日已更新試用到生產任務流程提醒您同步Hds試用群組 如果您的組織使用目錄同步，則在開始試用之前先刪除群組物件。

2019 年 3 月 6 日

將需求和先決條件移至單獨的章節，準備環境。
新增了混合資料安全性部署任務流程章中的概觀設定混合資料安全叢集。

請注意，在您開始試用之前（使用後續章節中的指示）您的節點會產生警報，指出您的服務尚未啟動。
新增了試用到生產任務流程在章節中執行試用並移至生產。

2019 年 2 月 28 日

已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB，以反映 OVA 建立的磁碟大小。

2019 年 2 月 26 日

混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線，以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO 並附有指示。
從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex： Webex Teams 服務的網路要求。

2019 年 1 月 24 日

Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

2018 年 11 月 5 日

新增了預備步驟來清理中的任何現有 Docker HDS 實例為 HDS 主機建立設定ISO 和變更節點組態。
更新了中的金鑰存取層級步驟為 HDS 主機建立設定ISO 以符合介面。

2018 年 10 月 19 日

將防火牆連線資訊分成中的節點需求和ISO組態機器需求完成混合資料安全性的先決條件。

2018 年 7 月 31 日

新增連接埠 22（SSH 存取）及有關 NAT 和防火牆連線的資訊，完成混合資料安全性的先決條件。

2018 年 5 月 21 日

變更了術語以反映Cisco Spark的品牌更名：

Cisco Spark混合資料安全性現已更名為混合資料安全性。
Cisco Spark應用程式現在更名為Webex App 應用程式。
Cisco Collaboration Cloud 現已更名為Webex Cloud。

2018 年 4 月 11 日

新增用於災害復原的備用資料中心。
已更新完成混合資料安全性的先決條件指定該備份環境應該位於其他資料中心。
已更新使用待機資料中心進行災害復原。

2018 年 2 月 22 日

新增了有關服務帳戶密碼 9 個月的使用期限以及使用 HDS 設定工具重設服務帳戶密碼的資訊，為 HDS 主機建立設定ISO 和變更節點組態。

2018 年 2 月 15 日

在X.509 憑證需求表，指定憑證不能是萬用憑證，且 KMS 使用 CN 網域，而不是 x.509v3 SAN 欄位中定義的任何網域。

2018 年 1 月 18 日

新增了附錄， HDS 節點與雲端之間的流量。
移除了已解決的問題，混合資料安全性的已知問題。
已將 index.docker.io 變更為 *.docker.io，並將 *.cloudfront.net 新增至中 HDS 節點的TCP連線需求清單完成混合資料安全性的先決條件。
已更新為 HDS 主機建立設定ISO 表示如果資料庫主機和 Syslogd 伺服器不能從 HDS 節點DNS，您必須使用IP位址來設定它們。

2017 年 11 月 2 日

釐清了 Hds TrialGroup 的目錄同步。
修正了上傳ISO組態檔以掛載到VM節點的指示。

2017 年 8 月 18 日

首次公佈

混合資料安全性入門

混合資料安全性概觀

從第一天開始，資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密，由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

安全性領域架構

Webex雲端架構將不同類型的服務分成不同的領域或信任網域，如下所述。

用戶端建立與金鑰管理服務 (KMS) 的安全連線，然後請求金鑰來加密訊息。安全連線使用 ECDH，KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務，由該服務建立加密的搜尋索引以協助將來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。

與其他組織協作

對部署混合資料安全性的預期

混合資料安全性部署需要大量客戶，並且需要了解擁有加密金鑰帶來的風險。

若要部署混合資料安全性，您必須提供：

位於以下國家/地區的安全資料中心： Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。

管理資料庫及設定ISO的備份與復原。
準備在發生災害（例如資料庫磁碟故障或資料中心災害）時執行快速災害復原。

沒有任何機制可在部署 HDS 後將金鑰移回雲端。

高階設定過程

此文件涵蓋「混合資料安全性」部署的設定和管理：

設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體，與處於試用模式的使用者子集一起測試您的部署，以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援，並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知，並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題，本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

混合資料安全性部署模式

在企業資料中心內，您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

混合資料安全性部署模式

當您在 Control Hub 中註冊節點時，節點即會變為活躍狀態。若要使個別節點停止服務，您可以將其取消註冊，然後在需要時重新註冊。

每個組織僅支援一個叢集。

混合資料安全性試用模式

用於災害復原的備用資料中心

在部署期間，您"安裝;設定"安全待命資料中心。如果資料中心發生災害，您可以手動將部署故障轉移至備用資料中心。

在故障轉移之前，資料中心 A 具有作用中的 HDS 節點以及主 PostgreSQL 或Microsoft SQL Server 資料庫，而 B 具有ISO檔案的副本，其中包含其他設定、已向組織註冊的 VM 以及備用資料庫。故障轉移後，資料中心 B 具有作用中的 HDS 節點和主資料庫，而 A 具有未註冊的 VM 和ISO檔案的副本，且資料庫處於待機模式。 — ***手動故障轉換至備用資料中心***

作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

設定備用資料中心以進行災害復原

請遵循下列步驟來設定備用資料中心的ISO檔案：

在開始之前

備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如，如果生產環境有 3 個 VM 執行 HDS 節點，則備份環境應該有 3 個 VM。（請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。）
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

啟動 HDS 設定工具，並遵循在為 HDS 主機建立設定ISO 。

ISO檔案必須是主資料中心的原始ISO檔案的副本，要在其上進行以下設定更新。

設定完 Syslogd 伺服器後，按一下進階設定

於進階設定頁面，請在下面新增設定以將節點設定為被動模式。在此模式下，節點將向組織註冊並連線至雲端，但不會處理任何流量。

 被動模式：「真」

完成設定過程並將ISO檔案儲存在易於尋找的位置。

在 VMware vSphere 用戶端的左側導覽窗格中，按右鍵一下VM ，然後按一下編輯設定。。

按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。

確保已連線和開啟電源時連接會檢查，以便更新的組態變更可以在啟動節點後生效。

開啟 HDS 節點的電源，並確保至少在 15 分鐘內沒有警報。

對備用資料中心中的每個節點重複此過程。

檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

下一步

設定後被動模式 在ISO檔案中並儲存，您可以建立另一個ISO檔案副本，而無需被動模式 設定，並將其儲存在安全位置。此ISO檔案副本不含被動模式 已設定可協助災害復原期間的快速容錯移轉過程。請參閱使用待機資料中心進行災害復原如需詳細的容錯移轉程序，

Proxy 支援

混合資料安全節點支援以下 Proxy 選項：

無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy，則為預設值。無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址，因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。
透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是，節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量（甚至是 HTTPS）。
明確的 Proxy - 透過明確的 Proxy，您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy，您必須在每個節點上輸入以下資訊：
1. Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。
2. Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。
3. Proxy 通訊協定— 根據您的代理伺服器支援的內容，在下列協議之間選擇：
  - HTTP — 檢視並控制用戶端傳送的所有請求。
  - HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
4. 驗證類型- 從以下驗證類型中選擇：
  - 無— 不需要進一步的驗證。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
  - 基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。
    
    如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定，則此選項可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。
  - 摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前，對使用者名稱和密碼套用雜湊函數。
    
    僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
    
    要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

已封鎖外部 DNS 解析模式（明確 Proxy 設定）

準備您的環境

混合資料安全性的需求

Cisco Webex授權需求

若要部署混合資料安全性：

您必須安裝Cisco Webex Control Hub的專業版 Pack。（請參閱https://www.cisco.com/go/pro-pack。）

Docker 桌面需求

安裝 HDS 節點之前，需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊，請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱」。

X.509 憑證需求

憑證鏈結必須符合下列需求：

表 1. 混合資料安全性部署的 X.509 憑證需求
需求	詳細資訊
由受信任的憑證授權單位(CA) 簽署	依預設，我們信任 Mozilla 清單中的 CA（WoSign 和 StartCom 除外），https://wiki.mozilla.org/CA:IncludedCAs 。
帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱不是萬用憑證	不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱，例如， `hds.company.com` 。 CN 不能包含 *（萬用字元）。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己，而不是使用 x.509v3 SAN 欄位中定義的任何網域。當您使用此憑證註冊節點後，我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。
非 SHA1 簽章	KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。
已格式化為受密碼保護的 PKCS #12 檔案使用的易記名稱： `kms 私密金鑰` 標記憑證、私密金鑰以及要上傳的任何中間憑證。	您可以使用轉換器（例如 OpenSSL）來變更憑證的格式。當您執行 HDS 設定工具時，您將需要輸入密碼。

虛擬主機需求

您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求：

至少有兩個獨立的主機（建議 3 個）共置在同一個安全資料中心
VMware ESXi 6.5（或更高版本）已安裝且正在執行。

如果您具有較舊的 ESXi 版本，則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

資料庫伺服器需求

建立金鑰儲存的新資料庫。請不要使用預設資料庫。HDS 應用程式在安裝時用於建立資料庫綱要。

資料庫伺服器有兩個選項。每個項目的需求如下：

表 2. 依資料庫類型排列資料庫伺服器需求

Postgres

Microsoft SQL Server

已安裝且正在執行 PostgreSQL 14、15 或 16。

已安裝SQL Server 2016、2017 或 2019（企業版或標準版）。

SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過（如果您想要長時間執行資料庫而無需增加儲存體，則建議使用 2 TB）

HDS 軟體目前安裝下列驅動程式版本，以與資料庫伺服器通訊:

Postgres

Microsoft SQL Server

Postgres JDBC 驅動程式 42.2.5

SQL Server JDBC 驅動程式 4.6

此驅動程式版本支援SQL Server Always On（永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。

針對Microsoft SQL Server 的 Windows 驗證的其他需求

如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權，則需要在您的環境中進行以下設定：

HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。

HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時，他們會使用您ISO設定的詳細資料來構造 SPN。

外部連線需求

設定您的防火牆，以允許 HDS 應用程式進行以下連線：

應用程式	通訊協定	連接埠	來自應用程式的方向	目標
混合資料安全節點	TCP	443	出埠 HTTPS 和 WSS	Webex伺服器： .wbx2.com .ciscospark.com 所有通用身份識別主持人中針對混合資料安全性列出的其他 URL： Webex Hybrid Services 的其他 URL 的表格Webex服務的網路要求
HDS 設定工具	TCP	443	出埠 HTTPS	*.wbx2.com 所有通用身份識別主持人 hub.docker.com

通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機：

Region	通用身份識別主持人 URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
歐盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy 伺服器要求

我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

透通 Proxy — Cisco 網路安全設備 (WSA)。

明確 Proxy — Squid。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題，請參閱設定 Squid Proxy 以實現混合資料安全性。

我們支援明確 Proxy 的以下驗證類型組合：
- 不使用 HTTP 或 HTTPS 進行驗證
- 使用 HTTP 或 HTTPS 進行基本驗證
- 僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy，您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題，則繞過（而不是檢查）流向 wbx2.com 和 ciscospark.com 的流量可以解決問題。

完成混合資料安全性的先決條件

使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。

為您的 HDS 部署選擇網域名稱（例如， hds.company.com ) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合X.509 憑證需求。

根據以下要求，準備將充當叢集主要資料存放區區的資料資料庫伺服器：資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

建立金鑰儲存用的資料庫。（您必須建立此資料庫 — 不要使用預設資料庫。HDS 應用程式在安裝後建立資料庫綱要。）
收集節點將用來與資料庫伺服器通訊的詳細資料：
- 主持人名稱或IP 位址(host) 和通訊埠
- 用於金鑰儲存的資料庫名稱 (dbname)
- 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠（預設值為UDP 514）。

因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰，所以無法維持可運作的部署將導致無法復原的遺失 該內容的。

請確保您的防火牆設定允許「混合資料安全性」節點的連線，如中所述。外部連線需求。

若要安裝並執行 HDS 設定工具，本機必須具有外部連線需求。

如果您要整合 Proxy 與混合資料安全性，請確保它符合Proxy 伺服器需求。

如果您的組織使用目錄同步，請在Active Directory中建立一個名為Hds試用群組，並新增試用使用者。試用群組最多可以有 250 個使用者。的Hds試用群組 必須將物件同步到雲端，然後才能為組織開始試用服務。若要同步群組物件，請在 Directory Connector 的設定 >物件選取功能表。（如需詳細指示，請參閱Cisco目錄連接器的部署指南。 )

設定混合資料安全叢集

混合資料安全性部署任務流程

在開始之前

將 OVA 檔案下載到您的本地機器以供稍後使用。

使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

從 OVA 檔案建立虛擬機器並執行初始設定，例如網路設定。

在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點，請網路設定。

從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

若網路環境需要 Proxy 設定，請指定用於節點的 Proxy 類型，並在需要時將 Proxy 憑證新增至信任儲存區。

將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。