- 首頁
- /
- 文章
多租戶混合資料安全 (HDS) 部署指南 (測試版)
新的和變更的資訊
新的和變更的資訊
此表格涵蓋了新功能、對現有內容的變更,以及多租戶混合資料安全性部署指南。
日期 |
所做的變更 |
---|---|
2024 年 12 月 13 日 |
首次發行。 |
停用多租戶混合資料安全性
多租戶 HDS 停用任務流程
請遵循下列步驟以完全停用多租戶 HDS。
開始之前
1 |
如中所述,從您的所有叢集中移除所有客戶移除租戶組織。 |
2 |
如中所述,撤銷所有客戶的 CMK撤銷從 HDS 移除的租戶的 CMK。 。 |
3 |
如中所述,從所有叢集中移除所有節點移除節點。 |
4 |
使用以下兩種方法之一,從 Partner Hub 中刪除所有叢集。
|
5 |
按一下設定 混合資料安全性概觀頁面上的標籤,然後按一下停用 HDS HDS 狀態卡上。 |
多租戶混合資料安全性入門
多租戶混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全性 使組織能夠透過信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密及其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不會受到外部存取。合作夥伴組織會根據需要"安裝;設定"HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許小型組織利用 HDS,因為金鑰管理服務和安全基礎架構(例如資料中心)歸值得信任的本地合作夥伴所有。
多租戶混合資料安全性如何提供資料主權和資料控制
- 使用者產生的內容受到保護,不被外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本機技術支援選項(若合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下"安裝;設定"和管理客戶。
多租戶混合資料安全性中的角色
- 合作夥伴正式管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 合作夥伴組織的管理員,經授權執行修改組織設定、管理授權及指定角色等工作。
- 所有客戶組織的端對端多租戶 HDS 設定及管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於多租戶混合資料安全性部署的詳細資訊。
部署混合資料安全性的意外狀況
混合資料安全性部署需要做出重大承諾,並且了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
-
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
-
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。
高階設定過程
此文件涵蓋多租戶混合資料安全性部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主金鑰 (CMK)。這將使您客戶組織的所有使用者都能將您的「混合資料安全性」叢集用於安全性功能。
設定、啟動和管理階段將在接下來的三章中詳細介紹。
-
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Partner Hub 中使用螢幕通知,並"安裝;設定"電子郵件型警示。
-
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。(您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。
-
透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。
-
Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。
-
Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型- 從以下驗證類型中選擇:
-
無— 不需要進一步的驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex授權需求
若要部署多租戶混合資料安全性:
-
合作夥伴組織:請聯絡您的Cisco合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租戶組織:您必須安裝Cisco Webex Control Hub的專業版 Pack。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
-
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
-
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。請不要使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下:
Postgres |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例 和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
-
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。
通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機:
區域 |
通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
請確保您的合作夥伴組織已啟用多租戶 HDS 功能,並獲取具有合作夥伴完整管理員和完整管理員權限的帳戶的憑證。確保您的Webex客戶組織支援Cisco Webex Control Hub的專業版 Pack 。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 |
4 |
根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。 |
5 |
為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。 因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失 該內容的。 Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 |
8 |
請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 |
9 |
安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 |
10 |
如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 |
設定「混合資料安全性」叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點,請網路設定。 |
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 |
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 |
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 |
8 |
完成叢集設定。 |
9 |
激活 HDS 並管理 Partner Hub 上的租戶組織。 |
執行初始"安裝;設定"並下載安裝檔案
在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入合作夥伴中心,然後按一下服務。 |
2 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 位於安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(可選)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定 ISO
「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有完全管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:
-
資料庫認證
-
憑證更新
-
授權原則的變更
-
-
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。 使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。 | ||||||||||
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
於ISO匯入 頁面上,您有下列選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||
13 |
在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。一般而言,您可能只需要變更此參數: | ||||||||||
15 |
按一下繼續 位於重設服務帳戶密碼 螢幕。 服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在易於尋找的位置。 | ||||||||||
17 |
在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多節點用於復原,或進行組態變更。如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 |
4 |
於選取名稱和資料夾 頁面上,輸入虛擬機器名稱 用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 |
5 |
於選取計算資源 頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。完成後,會出現範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一個。 |
7 |
如果您被要求在設定 頁面,按一下4 個CPU 然後按一下下一個。 |
8 |
於選取儲存空間 頁面,按一下下一個 接受預設磁碟格式和VM儲存原則。 |
9 |
於選取網路 頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 |
10 |
於自訂範本 頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM 以從節點主控台配置設定。 在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。否則,在主功能表表 中,選取編輯設定 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援DHCP 。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 獲取支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您想要向其指定「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下新增 於螢幕底部。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 |
按一下移至節點。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在這裡,您確認要向Webex組織授予權限,以存取您的節點。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
9 |
按一下鏈結或關閉標籤以返回 Partner Hub 混合資料安全性頁面。 於混合資料安全性 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 |
從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 |
在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 |
在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 為新節點提供需要。 |
5 |
註冊節點。 |
管理多租戶混合資料安全性上的租戶組織
在 Partner Hub 上啟用多租戶 HDS
此工作可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰及其他安全性服務。
開始之前
確保您已完成具有所需節點數的多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 位於HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此工作中,您可以將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
按一下您要向其指派客戶的叢集。 |
5 |
轉至已指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取您要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8,向叢集新增多個客戶。 |
10 |
按一下完成 一旦新增客戶後,會在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主金鑰 (CMK)
開始之前
如 中所述,將客戶指定給適當的叢集在 Partner Hub 中新增租戶組織。執行 HDS 設定工具,為新增的客戶組織完成"安裝;設定"程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:
-
資料庫認證
-
憑證更新
-
授權原則的變更
-
-
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。 使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功建立 CMK 之後,表格中的狀態將從CMK 管理等待中 至CMK 管理。 |
13 |
如果建立 CMK 不成功,將顯示一則錯誤。 |
移除租戶組織
開始之前
一旦移除,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並將失去所有現有空間。在移除客戶組織之前,請聯絡您的Cisco合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
於資源 標籤,按一下您要從其移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下已指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
如中所述,撤銷客戶組織的 CMK 以完成移除程序撤銷從 HDS 移除的租戶的 CMK。
撤銷從 HDS 移除的租戶的 CMK。
開始之前
如 中所述,從相應的叢集中移除客戶移除租戶組織。執行 HDS 設定工具,以針對已移除的客戶組織完成移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:
-
資料庫認證
-
憑證更新
-
授權原則的變更
-
-
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。 使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功撤銷 CMK 之後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷不成功,將顯示錯誤。 |
測驗您的混合資料安全性部署
測試混合資料安全性部署
開始之前
-
設定您的多租戶混合資料安全性部署。
-
確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的多租戶混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個客戶組織使用者身分登入Webex應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監視混合資料安全性的性能
1 |
輸入合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到混合資料安全性,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理您的 HDS 部署
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下設定 |
4 |
在「混合資料安全性資源」頁上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在叢集設定頁面上的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有合作夥伴完整管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除VM。(在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。若要防止此類流失,必須執行下列作法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 |
2 |
完成設定過程並將ISO檔案儲存在易於尋找的位置。 |
3 |
在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。 確保已連線 和開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 |
7 |
在 Partner Hub 中註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。但是,有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料儲存區ISO檔案。 並取消選取 |
4 |
開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 |
依次為每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
啟動 Partner Hub 中的 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未為新增的組織完成租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
未針對已移除的組織完成租戶組織設定 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
複查 Partner Hub 中的任何警示,並修正您在其中找到的任何項目。請參閱下圖以供參考。 |
2 |
複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。篩選「警告」和「錯誤」等字詞,以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他附註
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則客戶組織的Webex應用程式使用者無法再使用下使用 KMS 中的金鑰建立的人員清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回到完成混合資料安全性的先決條件。您將使用hds節點.p12
檔案以及您為該檔案設定的密碼,在為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指示為squid 設定檔
:
on_unsupported_protocol 全部傳送
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋了新功能、對現有內容的變更,以及多租戶混合資料安全性部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全性
多租戶 HDS 停用任務流程
請遵循下列步驟以完全停用多租戶 HDS。
開始之前
1 |
如中所述,從您的所有叢集中移除所有客戶移除租戶組織。 |
2 |
如中所述,撤銷所有客戶的 CMK撤銷從 HDS 移除的租戶的 CMK。 。 |
3 |
如中所述,從所有叢集中移除所有節點移除節點。 |
4 |
使用以下兩種方法之一,從 Partner Hub 中刪除所有叢集。
|
5 |
按一下設定 混合資料安全性概觀頁面上的標籤,然後按一下停用 HDS HDS 狀態卡上。 |
多租戶混合資料安全性入門
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全性 使組織能夠透過信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密及其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不會受到外部存取。合作夥伴組織會根據需要"安裝;設定"HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許小型組織利用 HDS,因為金鑰管理服務和安全基礎架構(例如資料中心)歸值得信任的本地合作夥伴所有。
多租戶混合資料安全性如何提供資料主權和資料控制
- 使用者產生的內容受到保護,不被外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本機技術支援選項(若合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下"安裝;設定"和管理客戶。
多租戶混合資料安全性中的角色
- 合作夥伴正式管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 合作夥伴組織的管理員,經授權執行修改組織設定、管理授權及指定角色等工作。
- 所有客戶組織的端對端多租戶 HDS 設定及管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於多租戶混合資料安全性部署的詳細資訊。
部署混合資料安全性的意外狀況
混合資料安全性部署需要做出重大承諾,並且了解擁有加密金鑰帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定過程
此文件涵蓋多租戶混合資料安全性部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主金鑰 (CMK)。這將使您客戶組織的所有使用者都能將您的「混合資料安全性」叢集用於安全性功能。
設定、啟動和管理階段將在接下來的三章中詳細介紹。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Partner Hub 中使用螢幕通知,並"安裝;設定"電子郵件型警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全性:
-
合作夥伴組織:請聯絡您的Cisco合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
請確保您的合作夥伴組織已啟用多租戶 HDS 功能,並獲取具有合作夥伴完整管理員和完整管理員權限的帳戶的憑證。確保您的Webex客戶組織支援Cisco Webex Control Hub的專業版 Pack 。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定「混合資料安全性」叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
激活 HDS 並管理 Partner Hub 上的租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入合作夥伴中心,然後按一下服務。 |
2 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 位於安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(可選)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有完全管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您想要向其指定「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下新增 於螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下鏈結或關閉標籤以返回 Partner Hub 混合資料安全性頁面。 於混合資料安全性 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
管理多租戶混合資料安全性上的租戶組織
在 Partner Hub 上啟用多租戶 HDS
此工作可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰及其他安全性服務。
開始之前
確保您已完成具有所需節點數的多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 位於HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此工作中,您可以將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
按一下您要向其指派客戶的叢集。 |
5 |
轉至已指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取您要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8,向叢集新增多個客戶。 |
10 |
按一下完成 一旦新增客戶後,會在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主金鑰 (CMK)
開始之前
如 中所述,將客戶指定給適當的叢集在 Partner Hub 中新增租戶組織。執行 HDS 設定工具,為新增的客戶組織完成"安裝;設定"程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功建立 CMK 之後,表格中的狀態將從CMK 管理等待中 至CMK 管理。 |
13 |
如果建立 CMK 不成功,將顯示一則錯誤。 |
移除租戶組織
開始之前
一旦移除,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並將失去所有現有空間。在移除客戶組織之前,請聯絡您的Cisco合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
於資源 標籤,按一下您要從其移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下已指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
如中所述,撤銷客戶組織的 CMK 以完成移除程序撤銷從 HDS 移除的租戶的 CMK。
撤銷從 HDS 移除的租戶的 CMK。
開始之前
如 中所述,從相應的叢集中移除客戶移除租戶組織。執行 HDS 設定工具,以針對已移除的客戶組織完成移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功撤銷 CMK 之後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷不成功,將顯示錯誤。 |
測驗您的混合資料安全性部署
測試混合資料安全性部署
開始之前
-
設定您的多租戶混合資料安全性部署。
-
確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的多租戶混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個客戶組織使用者身分登入Webex應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
輸入合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到混合資料安全性,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理您的 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在叢集設定頁面上的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有合作夥伴完整管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在 Partner Hub 中註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
啟動 Partner Hub 中的 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未為新增的組織完成租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
未針對已移除的組織完成租戶組織設定 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
複查 Partner Hub 中的任何警示,並修正您在其中找到的任何項目。請參閱下圖以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞,以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他附註
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則客戶組織的Webex應用程式使用者無法再使用下使用 KMS 中的金鑰建立的人員清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋了新功能、對現有內容的變更,以及多租戶混合資料安全性部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全性
多租戶 HDS 停用任務流程
請遵循下列步驟以完全停用多租戶 HDS。
開始之前
1 |
如中所述,從您的所有叢集中移除所有客戶移除租戶組織。 |
2 |
如中所述,撤銷所有客戶的 CMK撤銷從 HDS 移除的租戶的 CMK。 。 |
3 |
如中所述,從所有叢集中移除所有節點移除節點。 |
4 |
使用以下兩種方法之一,從 Partner Hub 中刪除所有叢集。
|
5 |
按一下設定 混合資料安全性概觀頁面上的標籤,然後按一下停用 HDS HDS 狀態卡上。 |
多租戶混合資料安全性入門
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全性 使組織能夠透過信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密及其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不會受到外部存取。合作夥伴組織會根據需要"安裝;設定"HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許小型組織利用 HDS,因為金鑰管理服務和安全基礎架構(例如資料中心)歸值得信任的本地合作夥伴所有。
多租戶混合資料安全性如何提供資料主權和資料控制
- 使用者產生的內容受到保護,不被外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本機技術支援選項(若合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下"安裝;設定"和管理客戶。
多租戶混合資料安全性中的角色
- 合作夥伴正式管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 合作夥伴組織的管理員,經授權執行修改組織設定、管理授權及指定角色等工作。
- 所有客戶組織的端對端多租戶 HDS 設定及管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於多租戶混合資料安全性部署的詳細資訊。
部署混合資料安全性的意外狀況
混合資料安全性部署需要做出重大承諾,並且了解擁有加密金鑰帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定過程
此文件涵蓋多租戶混合資料安全性部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主金鑰 (CMK)。這將使您客戶組織的所有使用者都能將您的「混合資料安全性」叢集用於安全性功能。
設定、啟動和管理階段將在接下來的三章中詳細介紹。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Partner Hub 中使用螢幕通知,並"安裝;設定"電子郵件型警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全性:
-
合作夥伴組織:請聯絡您的Cisco合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
請確保您的合作夥伴組織已啟用多租戶 HDS 功能,並獲取具有合作夥伴完整管理員和完整管理員權限的帳戶的憑證。確保您的Webex客戶組織支援Cisco Webex Control Hub的專業版 Pack 。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定「混合資料安全性」叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
激活 HDS 並管理 Partner Hub 上的租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入合作夥伴中心,然後按一下服務。 |
2 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 位於安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(可選)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有完全管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您想要向其指定「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下新增 於螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下鏈結或關閉標籤以返回 Partner Hub 混合資料安全性頁面。 於混合資料安全性 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
管理多租戶混合資料安全性上的租戶組織
在 Partner Hub 上啟用多租戶 HDS
此工作可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰及其他安全性服務。
開始之前
確保您已完成具有所需節點數的多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 位於HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此工作中,您可以將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
按一下您要向其指派客戶的叢集。 |
5 |
轉至已指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取您要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8,向叢集新增多個客戶。 |
10 |
按一下完成 一旦新增客戶後,會在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主金鑰 (CMK)
開始之前
如 中所述,將客戶指定給適當的叢集在 Partner Hub 中新增租戶組織。執行 HDS 設定工具,為新增的客戶組織完成"安裝;設定"程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功建立 CMK 之後,表格中的狀態將從CMK 管理等待中 至CMK 管理。 |
13 |
如果建立 CMK 不成功,將顯示一則錯誤。 |
移除租戶組織
開始之前
一旦移除,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並將失去所有現有空間。在移除客戶組織之前,請聯絡您的Cisco合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
於資源 標籤,按一下您要從其移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下已指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
如中所述,撤銷客戶組織的 CMK 以完成移除程序撤銷從 HDS 移除的租戶的 CMK。
撤銷從 HDS 移除的租戶的 CMK。
開始之前
如 中所述,從相應的叢集中移除客戶移除租戶組織。執行 HDS 設定工具,以針對已移除的客戶組織完成移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功撤銷 CMK 之後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷不成功,將顯示錯誤。 |
測驗您的混合資料安全性部署
測試混合資料安全性部署
開始之前
-
設定您的多租戶混合資料安全性部署。
-
確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的多租戶混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個客戶組織使用者身分登入Webex應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
輸入合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到混合資料安全性,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理您的 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在叢集設定頁面上的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有合作夥伴完整管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在 Partner Hub 中註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
啟動 Partner Hub 中的 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未為新增的組織完成租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
未針對已移除的組織完成租戶組織設定 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
複查 Partner Hub 中的任何警示,並修正您在其中找到的任何項目。請參閱下圖以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞,以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他附註
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則客戶組織的Webex應用程式使用者無法再使用下使用 KMS 中的金鑰建立的人員清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋了新功能、對現有內容的變更,以及多租戶混合資料安全性部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全性
多租戶 HDS 停用任務流程
請遵循下列步驟以完全停用多租戶 HDS。
開始之前
1 |
如中所述,從您的所有叢集中移除所有客戶移除租戶組織。 |
2 |
如中所述,撤銷所有客戶的 CMK撤銷從 HDS 移除的租戶的 CMK。 。 |
3 |
如中所述,從所有叢集中移除所有節點移除節點。 |
4 |
使用以下兩種方法之一,從 Partner Hub 中刪除所有叢集。
|
5 |
按一下設定 混合資料安全性概觀頁面上的標籤,然後按一下停用 HDS HDS 狀態卡上。 |
多租戶混合資料安全性入門
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全性 使組織能夠透過信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密及其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不會受到外部存取。合作夥伴組織會根據需要"安裝;設定"HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許小型組織利用 HDS,因為金鑰管理服務和安全基礎架構(例如資料中心)歸值得信任的本地合作夥伴所有。
多租戶混合資料安全性如何提供資料主權和資料控制
- 使用者產生的內容受到保護,不被外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本機技術支援選項(若合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下"安裝;設定"和管理客戶。
多租戶混合資料安全性中的角色
- 合作夥伴正式管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 合作夥伴組織的管理員,經授權執行修改組織設定、管理授權及指定角色等工作。
- 所有客戶組織的端對端多租戶 HDS 設定及管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於多租戶混合資料安全性部署的詳細資訊。
部署混合資料安全性的意外狀況
混合資料安全性部署需要做出重大承諾,並且了解擁有加密金鑰帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定過程
此文件涵蓋多租戶混合資料安全性部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主金鑰 (CMK)。這將使您客戶組織的所有使用者都能將您的「混合資料安全性」叢集用於安全性功能。
設定、啟動和管理階段將在接下來的三章中詳細介紹。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Partner Hub 中使用螢幕通知,並"安裝;設定"電子郵件型警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全性:
-
合作夥伴組織:請聯絡您的Cisco合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
請確保您的合作夥伴組織已啟用多租戶 HDS 功能,並獲取具有合作夥伴完整管理員和完整管理員權限的帳戶的憑證。確保您的Webex客戶組織支援Cisco Webex Control Hub的專業版 Pack 。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定「混合資料安全性」叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
激活 HDS 並管理 Partner Hub 上的租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入合作夥伴中心,然後按一下服務。 |
2 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 位於安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(可選)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有完全管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您想要向其指定「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下新增 於螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下鏈結或關閉標籤以返回 Partner Hub 混合資料安全性頁面。 於混合資料安全性 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
管理多租戶混合資料安全性上的租戶組織
在 Partner Hub 上啟用多租戶 HDS
此工作可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰及其他安全性服務。
開始之前
確保您已完成具有所需節點數的多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 位於HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此工作中,您可以將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
按一下您要向其指派客戶的叢集。 |
5 |
轉至已指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取您要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8,向叢集新增多個客戶。 |
10 |
按一下完成 一旦新增客戶後,會在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主金鑰 (CMK)
開始之前
如 中所述,將客戶指定給適當的叢集在 Partner Hub 中新增租戶組織。執行 HDS 設定工具,為新增的客戶組織完成"安裝;設定"程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功建立 CMK 之後,表格中的狀態將從CMK 管理等待中 至CMK 管理。 |
13 |
如果建立 CMK 不成功,將顯示一則錯誤。 |
移除租戶組織
開始之前
一旦移除,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並將失去所有現有空間。在移除客戶組織之前,請聯絡您的Cisco合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
於資源 標籤,按一下您要從其移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下已指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
如中所述,撤銷客戶組織的 CMK 以完成移除程序撤銷從 HDS 移除的租戶的 CMK。
撤銷從 HDS 移除的租戶的 CMK。
開始之前
如 中所述,從相應的叢集中移除客戶移除租戶組織。執行 HDS 設定工具,以針對已移除的客戶組織完成移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要 Partner Hub 帳戶的憑證,該帳戶具有您的組織的完整管理員權限。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 本地主機, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
提示時,輸入 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
於ISO匯入 頁面,按一下是。 |
10 |
在瀏覽器中選取您的ISO檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方式。
|
12 |
成功撤銷 CMK 之後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷不成功,將顯示錯誤。 |
測驗您的混合資料安全性部署
測試混合資料安全性部署
開始之前
-
設定您的多租戶混合資料安全性部署。
-
確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的多租戶混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個客戶組織使用者身分登入Webex應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
輸入合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到混合資料安全性,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理您的 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在叢集設定頁面上的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有合作夥伴完整管理員權限的 Partner Hub 帳戶的憑證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在 Partner Hub 中註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
啟動 Partner Hub 中的 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未為新增的組織完成租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
未針對已移除的組織完成租戶組織設定 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
複查 Partner Hub 中的任何警示,並修正您在其中找到的任何項目。請參閱下圖以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞,以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他附註
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則客戶組織的Webex應用程式使用者無法再使用下使用 KMS 中的金鑰建立的人員清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋新特性或功能、對現有內容的變更,以及在多租戶混合資料安全部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 15 日 |
新增了多租戶混合資料安全的限制。 |
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全
多租戶 HDS 停用任務流程
請遵循以下步驟以完全停用多租戶 HDS。
開始之前
1 |
從您的所有叢集中移除所有客戶,如移除租用戶組織。 |
2 |
撤銷所有客戶的 CMK,如撤銷已從 HDS 移除的租戶的 CMK。 。 |
3 |
從您的所有叢集中移除所有節點,如移除節點。 |
4 |
使用以下兩種方法之一從 Partner Hub 中刪除您的所有叢集。
|
5 |
按一下設定 標籤,然後按一下停用 HDS 在 HDS 狀態卡上。 |
開始使用多租戶混合資料安全性
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全 使組織能夠透過受信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密和其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不受外部存取。合作夥伴組織會根據需要設定 HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許較小的組織利用 HDS,因為金鑰管理服務和安全性基礎架構(例如資料中心)由受信任的本地合作夥伴擁有。
多租戶混合資料安全如何提供資料主權和資料控制
- 使用者產生的內容受到保護,無法從外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本地技術支援的選項(如果由合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下設定和管理客戶。
多租戶混合資料安全性的限制
- 合作夥伴組織在 Control Hub 中不得有任何處於活動狀態的現有 HDS 部署。
- 希望由合作夥伴管理的租戶或客戶組織不得在 Control Hub 中具有任何現有的 HDS 部署。
- 合作夥伴部署多租戶 HDS 後,客戶組織的所有使用者以及合作夥伴組織的使用者開始將多租戶 HDS 用於其加密服務。
他們管理的合作夥伴組織和客戶組織將位於相同的多租戶 HDS 部署上。
部署多租戶 HDS 後,合作夥伴組織將不再使用雲端 KMS。
- 在 HDS 部署之後,沒有將金鑰移回 Cloud KMS 的機制。
- 目前,每個多租戶 HDS 部署只能有一個叢集,其下有多個節點。
- 管理員角色具有某些限制。請參閱以下章節以了解詳細資訊。
多租戶混合資料安全中的角色
- 合作夥伴完全管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 授權執行修改組織設定、管理授權和指定角色等任務的合作夥伴組織的管理員。
- 所有客戶組織的端對端多租戶 HDS 設定和管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 以獲取有關產生 x.509 憑證以與多租戶混合資料安全部署一起使用的詳細資訊。
部署混合資料安全性的意外狀況
「混合資料安全」部署需要大量投入,並了解擁有加密金鑰所帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的設備、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定程序
本文件涵蓋多租戶混合資料安全部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝「混合資料安全」軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主要金鑰 (CMK)。這將允許客戶組織的所有使用者使用混合資料安全叢集來執行安全性功能。
接下來的三章將詳細介紹設定、啟用和管理階段。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以使用螢幕通知並在 Partner Hub 中設定基於電子郵件的警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點將變為活動狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全:
-
合作夥伴組織:請聯絡您的 Cisco 合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租用戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的合作夥伴組織已啟用多租戶 HDS 功能,並取得具有合作夥伴完全管理員和完全管理員權限的帳戶的認證。確保您的 Webex 客戶組織已啟用 Pro Pack for Cisco Webex Control Hub。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定混合資料安全叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
在 Partner Hub 上啟動 HDS 並管理租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入 Partner Hub,然後按一下服務。 |
2 |
在雲端服務部分,找到「混合資料安全」卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 在安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(選用)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南的較新版本可用。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全」卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您要為其指定「混合資料安全」節點的叢集名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按一下新增 在螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下該鏈結或關閉標籤以返回到 Partner Hub 混合資料安全性頁面。 在混合資料安全 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
在多租戶混合資料安全性上管理租戶組織
在 Partner Hub 上啟動多租戶 HDS
此任務可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰和其他安全性服務。
開始之前
確保您已使用所需數量的節點完成多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 在HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此任務中,您會將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
按一下您要為其指定客戶的叢集。 |
5 |
轉至指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8 以將多個客戶新增至您的叢集。 |
10 |
按一下完成 新增客戶後,在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主要金鑰 (CMK)
開始之前
將客戶指定給適當的叢集,詳細說明如下:在 Partner Hub 中新增租戶組織。執行 HDS 設定工具以完成新增客戶組織的設定程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
成功建立 CMK 後,表格中的狀態將從CMK 管理擱置 至CMK 託管。 |
13 |
如果 CMK 建立失敗,則會顯示錯誤。 |
移除租用戶組織
開始之前
移除後,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並且將失去所有現有空間。在移除客戶組織之前,請聯絡您的 Cisco 合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
在資源 標籤,按一下要從中移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
透過撤銷客戶組織的 CMK 來完成移除程序,如以下所述:撤銷已從 HDS 移除的租戶的 CMK。
撤銷已從 HDS 移除的租戶的 CMK。
開始之前
從適當的叢集中移除客戶,詳細說明如下:移除租用戶組織。執行 HDS 設定工具以完成已移除的客戶組織的移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
CMK 撤銷成功後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷失敗,則會顯示錯誤。 |
測試您的混合資料安全部署
測試混合資料安全性部署
開始之前
-
設定多租戶混合資料安全部署。
-
確保您有權存取 syslog,以驗證金鑰請求是否正在傳遞至多租戶混合資料安全部署。
1 |
給定空間的金鑰由空間的建立者設定。以客戶組織使用者之一身分登入 Webex 應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
在合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在「叢集設定」頁面的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如果需要,您可以將升級推遲到下一天,方法是按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有合作夥伴完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。有關更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在合作夥伴中心註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
在 Partner Hub 中啟動 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未完成新增組織的租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
已移除組織的租戶組織設定未完成 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
檢查 Partner Hub 是否有任何警示,並修正您在其中找到的任何項目。請參閱下面的影像以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他注意事項
混合資料安全性的已知問題
-
如果您關閉「混合資料安全叢集」(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定 ISO 檔案或無法存取 keystore 資料庫,則客戶組織的 Webex 應用程式使用者無法再使用下方的空間使用 KMS 中的金鑰建立的「人員」清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋新特性或功能、對現有內容的變更,以及在多租戶混合資料安全部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 30 日 |
已將 SQL Server 版本 2022 新增至以下項目中支援的 SQL Server 清單:資料庫伺服器需求。 |
2025 年 1 月 15 日 |
新增了多租戶混合資料安全的限制。 |
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全
多租戶 HDS 停用任務流程
請遵循以下步驟以完全停用多租戶 HDS。
開始之前
1 |
從您的所有叢集中移除所有客戶,如移除租用戶組織。 |
2 |
撤銷所有客戶的 CMK,如撤銷已從 HDS 移除的租戶的 CMK。 。 |
3 |
從您的所有叢集中移除所有節點,如移除節點。 |
4 |
使用以下兩種方法之一從 Partner Hub 中刪除您的所有叢集。
|
5 |
按一下設定 標籤,然後按一下停用 HDS 在 HDS 狀態卡上。 |
開始使用多租戶混合資料安全性
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全 使組織能夠透過受信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密和其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不受外部存取。合作夥伴組織會根據需要設定 HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許較小的組織利用 HDS,因為金鑰管理服務和安全性基礎架構(例如資料中心)由受信任的本地合作夥伴擁有。
多租戶混合資料安全如何提供資料主權和資料控制
- 使用者產生的內容受到保護,無法從外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本地技術支援的選項(如果由合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下設定和管理客戶。
多租戶混合資料安全性的限制
- 合作夥伴組織在 Control Hub 中不得有任何處於活動狀態的現有 HDS 部署。
- 希望由合作夥伴管理的租戶或客戶組織不得在 Control Hub 中具有任何現有的 HDS 部署。
- 合作夥伴部署多租戶 HDS 後,客戶組織的所有使用者以及合作夥伴組織的使用者開始將多租戶 HDS 用於其加密服務。
他們管理的合作夥伴組織和客戶組織將位於相同的多租戶 HDS 部署上。
部署多租戶 HDS 後,合作夥伴組織將不再使用雲端 KMS。
- 在 HDS 部署之後,沒有將金鑰移回 Cloud KMS 的機制。
- 目前,每個多租戶 HDS 部署只能有一個叢集,其下有多個節點。
- 管理員角色具有某些限制。請參閱以下章節以了解詳細資訊。
多租戶混合資料安全中的角色
- 合作夥伴完全管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 授權執行修改組織設定、管理授權和指定角色等任務的合作夥伴組織的管理員。
- 所有客戶組織的端對端多租戶 HDS 設定和管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 以獲取有關產生 x.509 憑證以與多租戶混合資料安全部署一起使用的詳細資訊。
部署混合資料安全性的意外狀況
「混合資料安全」部署需要大量投入,並了解擁有加密金鑰所帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的設備、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定程序
本文件涵蓋多租戶混合資料安全部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝「混合資料安全」軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主要金鑰 (CMK)。這將允許客戶組織的所有使用者使用混合資料安全叢集來執行安全性功能。
接下來的三章將詳細介紹設定、啟用和管理階段。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以使用螢幕通知並在 Partner Hub 中設定基於電子郵件的警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點將變為活動狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全:
-
合作夥伴組織:請聯絡您的 Cisco 合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租用戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的合作夥伴組織已啟用多租戶 HDS 功能,並取得具有合作夥伴完全管理員和完全管理員權限的帳戶的認證。確保您的 Webex 客戶組織已啟用 Pro Pack for Cisco Webex Control Hub。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定混合資料安全叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
在 Partner Hub 上啟動 HDS 並管理租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入 Partner Hub,然後按一下服務。 |
2 |
在雲端服務部分,找到「混合資料安全」卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 在安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(選用)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南的較新版本可用。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全」卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您要為其指定「混合資料安全」節點的叢集名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按一下新增 在螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下該鏈結或關閉標籤以返回到 Partner Hub 混合資料安全性頁面。 在混合資料安全 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
在多租戶混合資料安全性上管理租戶組織
在 Partner Hub 上啟動多租戶 HDS
此任務可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰和其他安全性服務。
開始之前
確保您已使用所需數量的節點完成多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 在HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此任務中,您會將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
按一下您要為其指定客戶的叢集。 |
5 |
轉至指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8 以將多個客戶新增至您的叢集。 |
10 |
按一下完成 新增客戶後,在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主要金鑰 (CMK)
開始之前
將客戶指定給適當的叢集,詳細說明如下:在 Partner Hub 中新增租戶組織。執行 HDS 設定工具以完成新增客戶組織的設定程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
成功建立 CMK 後,表格中的狀態將從CMK 管理擱置 至CMK 託管。 |
13 |
如果 CMK 建立失敗,則會顯示錯誤。 |
移除租用戶組織
開始之前
移除後,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並且將失去所有現有空間。在移除客戶組織之前,請聯絡您的 Cisco 合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
在資源 標籤,按一下要從中移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
透過撤銷客戶組織的 CMK 來完成移除程序,如以下所述:撤銷已從 HDS 移除的租戶的 CMK。
撤銷已從 HDS 移除的租戶的 CMK。
開始之前
從適當的叢集中移除客戶,詳細說明如下:移除租用戶組織。執行 HDS 設定工具以完成已移除的客戶組織的移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
CMK 撤銷成功後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷失敗,則會顯示錯誤。 |
測試您的混合資料安全部署
測試混合資料安全性部署
開始之前
-
設定多租戶混合資料安全部署。
-
確保您有權存取 syslog,以驗證金鑰請求是否正在傳遞至多租戶混合資料安全部署。
1 |
給定空間的金鑰由空間的建立者設定。以客戶組織使用者之一身分登入 Webex 應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
在合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在「叢集設定」頁面的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如果需要,您可以將升級推遲到下一天,方法是按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有合作夥伴完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。有關更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在合作夥伴中心註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
在 Partner Hub 中啟動 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未完成新增組織的租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
已移除組織的租戶組織設定未完成 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
檢查 Partner Hub 是否有任何警示,並修正您在其中找到的任何項目。請參閱下面的影像以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他注意事項
混合資料安全性的已知問題
-
如果您關閉「混合資料安全叢集」(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定 ISO 檔案或無法存取 keystore 資料庫,則客戶組織的 Webex 應用程式使用者無法再使用下方的空間使用 KMS 中的金鑰建立的「人員」清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋新特性或功能、對現有內容的變更,以及在多租戶混合資料安全部署指南。
日期 |
所做的變更 |
---|---|
2025 年 1 月 30 日 |
已將 SQL Server 版本 2022 新增至以下項目中支援的 SQL Server 清單:資料庫伺服器需求。 |
2025 年 1 月 15 日 |
新增了多租戶混合資料安全的限制。 |
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全
多租戶 HDS 停用任務流程
請遵循以下步驟以完全停用多租戶 HDS。
開始之前
1 |
從您的所有叢集中移除所有客戶,如移除租用戶組織。 |
2 |
撤銷所有客戶的 CMK,如撤銷已從 HDS 移除的租戶的 CMK。 。 |
3 |
從您的所有叢集中移除所有節點,如移除節點。 |
4 |
使用以下兩種方法之一從 Partner Hub 中刪除您的所有叢集。
|
5 |
按一下設定 標籤,然後按一下停用 HDS 在 HDS 狀態卡上。 |
開始使用多租戶混合資料安全性
多租戶混合資料安全性概觀
從第一天開始,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全 使組織能夠透過受信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密和其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不受外部存取。合作夥伴組織會根據需要設定 HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許較小的組織利用 HDS,因為金鑰管理服務和安全性基礎架構(例如資料中心)由受信任的本地合作夥伴擁有。
多租戶混合資料安全如何提供資料主權和資料控制
- 使用者產生的內容受到保護,無法從外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本地技術支援的選項(如果由合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下設定和管理客戶。
多租戶混合資料安全性的限制
- 合作夥伴組織在 Control Hub 中不得有任何處於活動狀態的現有 HDS 部署。
- 希望由合作夥伴管理的租戶或客戶組織不得在 Control Hub 中具有任何現有的 HDS 部署。
- 合作夥伴部署多租戶 HDS 後,客戶組織的所有使用者以及合作夥伴組織的使用者開始將多租戶 HDS 用於其加密服務。
他們管理的合作夥伴組織和客戶組織將位於相同的多租戶 HDS 部署上。
部署多租戶 HDS 後,合作夥伴組織將不再使用雲端 KMS。
- 在 HDS 部署之後,沒有將金鑰移回 Cloud KMS 的機制。
- 目前,每個多租戶 HDS 部署只能有一個叢集,其下有多個節點。
- 管理員角色具有某些限制。請參閱以下章節以了解詳細資訊。
多租戶混合資料安全中的角色
- 合作夥伴完全管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 授權執行修改組織設定、管理授權和指定角色等任務的合作夥伴組織的管理員。
- 所有客戶組織的端對端多租戶 HDS 設定和管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全,我們先來看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 以獲取有關產生 x.509 憑證以與多租戶混合資料安全部署一起使用的詳細資訊。
部署混合資料安全性的意外狀況
「混合資料安全」部署需要大量投入,並了解擁有加密金鑰所帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的設備、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定程序
本文件涵蓋多租戶混合資料安全部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝「混合資料安全」軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主要金鑰 (CMK)。這將允許客戶組織的所有使用者使用混合資料安全叢集來執行安全性功能。
接下來的三章將詳細介紹設定、啟用和管理階段。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以使用螢幕通知並在 Partner Hub 中設定基於電子郵件的警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點將變為活動狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和待命資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於存取 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全:
-
合作夥伴組織:請聯絡您的 Cisco 合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租用戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外):https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝以下驅動程式版本,以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 使用或在防火牆後使用,只要 NAT 或防火牆允許所需的輸出連線至上表中的網域目的地。對於傳入「混合資料安全節點」的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的合作夥伴組織已啟用多租戶 HDS 功能,並取得具有合作夥伴完全管理員和完全管理員權限的帳戶的認證。確保您的 Webex 客戶組織已啟用 Pro Pack for Cisco Webex Control Hub。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備您將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為「混合資料安全」節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定混合資料安全叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex Cloud 註冊 VM 作為混合資料安全節點。 |
8 |
完成叢集設定。 |
9 |
在 Partner Hub 上啟動 HDS 並管理租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全性節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入 Partner Hub,然後按一下服務。 |
2 |
在雲端服務部分,找到「混合資料安全」卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 在安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(選用)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南的較新版本可用。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在您的本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的基礎上公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全」卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入您要為其指定「混合資料安全」節點的叢集名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按一下新增 在螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下該鏈結或關閉標籤以返回到 Partner Hub 混合資料安全性頁面。 在混合資料安全 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
在多租戶混合資料安全性上管理租戶組織
在 Partner Hub 上啟動多租戶 HDS
此任務可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰和其他安全性服務。
開始之前
確保您已使用所需數量的節點完成多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 在HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此任務中,您會將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
按一下您要為其指定客戶的叢集。 |
5 |
轉至指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8 以將多個客戶新增至您的叢集。 |
10 |
按一下完成 新增客戶後,在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主要金鑰 (CMK)
開始之前
將客戶指定給適當的叢集,詳細說明如下:在 Partner Hub 中新增租戶組織。執行 HDS 設定工具以完成新增客戶組織的設定程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
成功建立 CMK 後,表格中的狀態將從CMK 管理擱置 至CMK 託管。 |
13 |
如果 CMK 建立失敗,則會顯示錯誤。 |
移除租用戶組織
開始之前
移除後,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並且將失去所有現有空間。在移除客戶組織之前,請聯絡您的 Cisco 合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下檢視全部。 |
4 |
在資源 標籤,按一下要從中移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
透過撤銷客戶組織的 CMK 來完成移除程序,如以下所述:撤銷已從 HDS 移除的租戶的 CMK。
撤銷已從 HDS 移除的租戶的 CMK。
開始之前
從適當的叢集中移除客戶,詳細說明如下:移除租用戶組織。執行 HDS 設定工具以完成已移除的客戶組織的移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
CMK 撤銷成功後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷失敗,則會顯示錯誤。 |
測試您的混合資料安全部署
測試混合資料安全性部署
開始之前
-
設定多租戶混合資料安全部署。
-
確保您有權存取 syslog,以驗證金鑰請求是否正在傳遞至多租戶混合資料安全部署。
1 |
給定空間的金鑰由空間的建立者設定。以客戶組織使用者之一身分登入 Webex 應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
在合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全性」,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在「叢集設定」頁面的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如果需要,您可以將升級推遲到下一天,方法是按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有合作夥伴完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在您的環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:通訊埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:通訊埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:通訊埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。有關更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在您的本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點的電源並確保至少 15 分鐘內沒有警報。 |
7 |
在合作夥伴中心註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集工作速度太慢以致請求逾時,則認為混合資料安全部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
在 Partner Hub 中啟動 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未完成新增組織的租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
已移除組織的租戶組織設定未完成 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
檢查 Partner Hub 是否有任何警示,並修正您在其中找到的任何項目。請參閱下面的影像以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他注意事項
混合資料安全性的已知問題
-
如果您關閉「混合資料安全叢集」(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定 ISO 檔案或無法存取 keystore 資料庫,則客戶組織的 Webex 應用程式使用者無法再使用下方的空間使用 KMS 中的金鑰建立的「人員」清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立( wss:
)連線(混合資料安全性所需)。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol 所有通道
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump splice wssMercuryConnection acl step1at_step SslBump1 acl 步驟 2at_step SslBump2 acl 步驟 3at_step SslBump3ssl_bump 預覽步驟 1 全部ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新增和變更的資訊
新增和變更的資訊
此表格涵蓋新的特性或功能、對現有內容的變更,以及在多租戶混合資料安全部署指南。
日期 |
所做的變更 |
---|---|
2025 年 3 月 4 日 |
|
2025 年 1 月 30 日 |
已將 SQL Server 版本 2022 新增至以下項目中支援的 SQL Server 清單:資料庫伺服器需求。 |
2025 年 1 月 15 日 |
已新增多租戶混合資料安全性的限制。 |
2025 年 1 月 8 日 |
已新增附註執行初始設定並下載安裝檔案 說明按一下設定 在 Partner Hub 中的 HDS 卡上進行設定是安裝過程中的一個重要步驟。 |
2025 年 1 月 7 日 |
已更新虛擬主機需求,混合資料安全性部署任務流程和安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新需求。 |
2024 年 12 月 13 日 |
首次發布。 |
停用多租戶混合資料安全
多租戶 HDS 停用任務流程
請遵循以下步驟以完全停用多租戶 HDS。
開始之前
1 |
從您的所有叢集中移除所有客戶,如移除租用戶組織。 |
2 |
撤銷所有客戶的 CMK,如撤銷已從 HDS 移除的租戶的 CMK。 。 |
3 |
從您的所有叢集中移除所有節點,如移除節點。 |
4 |
使用以下兩種方法之一從 Partner Hub 中刪除您的所有叢集。
|
5 |
按一下設定 標籤,然後按一下停用 HDS 在 HDS 狀態卡上。 |
開始使用多租戶混合資料安全性
多租戶混合資料安全性概觀
從第一天起,資料安全性就是設計 Webex 應用程式的主要焦點。此安全性的基礎是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex 應用程式用戶端啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex 應用程式客戶都會使用儲存在 Cisco 安全領域中云端 KMS 中的動態金鑰進行端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全 使組織能夠透過受信任的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部部署加密和其他安全性服務。此設定可讓合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料不受外部存取。合作夥伴組織會根據需要設定 HDS 實例並建立 HDS 叢集。每個實例都可以支援多個客戶組織,這與僅限於單個組織的常規 HDS 部署不同。
這也允許較小的組織利用 HDS,因為金鑰管理服務和安全性基礎架構(如資料中心)由受信任的本地合作夥伴擁有。
多租戶混合資料安全如何提供資料主權和資料控制
- 使用者產生的內容受到保護,無法從外部存取,例如雲端服務提供者。
- 本地受信任的合作夥伴管理與他們建立關係的客戶的加密金鑰。
- 本地技術支援的選項(如果由合作夥伴提供)。
- 支援會議、傳訊和通話內容。
本文件旨在協助合作夥伴組織在多租戶混合資料安全系統下設定和管理客戶。
多租戶混合資料安全性的限制
- 合作夥伴組織在 Control Hub 中不得有任何處於活動狀態的現有 HDS 部署。
- 希望由合作夥伴管理的租戶或客戶組織不得在 Control Hub 中具有任何現有的 HDS 部署。
- 合作夥伴部署多租戶 HDS 後,客戶組織的所有使用者以及合作夥伴組織的使用者開始將多租戶 HDS 用於其加密服務。
他們管理的合作夥伴組織和客戶組織將位於相同的多租戶 HDS 部署上。
部署多租戶 HDS 後,合作夥伴組織將不再使用雲端 KMS。
- 在 HDS 部署之後,沒有將金鑰移回 Cloud KMS 的機制。
- 目前,每個多租戶 HDS 部署只能有一個叢集,其下有多個節點。
- 管理員角色具有某些限制。請參閱以下章節以了解詳細資訊。
多租戶混合資料安全中的角色
- 合作夥伴完全管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員佈建的客戶或已指定給使用者的客戶的設定。
- 完全管理員 - 授權執行修改組織設定、管理授權和指定角色等任務的合作夥伴組織的管理員。
- 所有客戶組織的端對端多租戶 HDS 設定和管理 - 需要合作夥伴完全管理員和完全管理員權限。
- 管理指定的租用戶組織 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分成不同的領域或信任網域,如下所示。

為了進一步了解混合資料安全性,我們先來看看這個純雲端案例,其中 Cisco 在其云端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者的膝上型電腦上執行的 Webex 應用程式,並且已使用身分識別服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署「混合資料安全」時,會將安全領域功能(KMS、索引和合規)移至內部部署資料中心。組成 Webex 的其他雲端服務(包括身分識別和內容儲存體)仍保留在 Cisco 的領域中。
與其他組織協作
您組織中的使用者可以定期使用 Webex 應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由至 Webex 雲端,以從相應的 KMS 取得金鑰,然後在原始通道上將金鑰返回給您的使用者。

在組織 A 上執行的 KMS 服務會使用 x.509 PKI 憑證來驗證與其他組織中 KMS 的連線。請參閱準備環境 以獲取有關產生 x.509 憑證以用於「多租戶混合資料安全」部署的詳細資訊。
部署混合資料安全性的意外狀況
「混合資料安全」部署需要大量投入,並了解擁有加密金鑰所帶來的風險。
若要部署「混合資料安全」,您必須提供:
-
位於以下國家/地區的安全資料中心Cisco Webex Teams 計劃的支援位置。
-
中所述的設備、軟體和網路存取準備環境。
完全遺失您為「混合資料安全」建立的組態 ISO 或您提供的資料庫,將導致金鑰遺失。金鑰遺失會阻止使用者在 Webex 應用程式中解密空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
如果發生災害(例如資料庫磁碟故障或資料中心災害),請做好執行快速災害復原的準備。
在 HDS 部署之後,沒有將金鑰移回雲端的機制。
高階設定程序
本文件涵蓋多租戶混合資料安全部署的設定和管理:
-
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全軟體、建立 HDS 叢集、將租戶組織新增至叢集以及管理其客戶主要金鑰 (CMK)。這將允許客戶組織的所有使用者使用混合資料安全叢集來執行安全性功能。
接下來的三章將詳細介紹設定、啟用和管理階段。
-
維護混合資料安全部署— Webex 雲端會自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以使用螢幕通知並在 Partner Hub 中設定基於電子郵件的警示。
-
了解常見警示、疑難排解步驟和已知問題— 如果您在部署或使用「混合資料安全」時遇到問題,本指南的最後一章和「已知問題」附錄可能會幫助您確定並修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將「混合資料安全」部署為單獨的虛擬主機上的單個節點叢集。節點透過安全 Websocket 和安全 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資料。)

叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。擁有多個節點可確保服務在節點上的軟體升級或其他維護活動期間不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Partner Hub 中註冊節點時,節點將變為活動狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
用於災害復原的備用資料中心
在部署期間,您會設定安全的待命資料中心。如果發生資料中心災難,您可以手動將部署故障轉移至備用資料中心。

活動資料中心和備用資料中心的資料庫彼此同步,這將最大限度地減少執行容錯移轉所需的時間。
作用中的混合資料安全節點必須始終與作用中的資料庫伺服器位於相同的資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存庫和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透明非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,且不需要進行任何變更即可使用非檢查 Proxy。無需更新憑證。
-
透明通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確 Proxy — 使用明確 Proxy,您可以告訴 HDS 節點要使用哪個 Proxy 伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理 IP/FQDN — 可用於連線 Proxy 機器的位址。
-
Proxy 通訊埠— Proxy 用來接聽 Proxy 流量的通訊埠號碼。
-
Proxy 通訊協定— 根據您的 Proxy 伺服器支援的內容,選擇下列通訊協定:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從以下驗證類型中選擇:
-
無— 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 供 HTTP 使用者代理用於在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要— 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全性的需求
Cisco Webex 授權需求
若要部署多租戶混合資料安全:
-
合作夥伴組織:請聯絡您的 Cisco 合作夥伴或客戶經理,並確保已啟用多租戶功能。
-
租用戶組織:您必須具有 Pro Pack for Cisco Webex Control Hub。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模型。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
沒有 Docker Desktop 授權的客戶可以使用開放式源碼容器管理工具(例如 Podman Desktop)來執行、管理和建立容器。請參閱使用 Podman Desktop 執行 HDS 設定工具 以獲取詳細資訊。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任位於以下位置的 Mozilla 清單中的 CA(WoSign 和 StartCom 除外)https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。我們建議您使用能反映貴組織的名稱,例如 CN 不能包含 *(萬用字元)。 CN 用於向 Webex 應用程式用戶端驗證混合資料安全節點。叢集中的所有「混合資料安全」節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為「混合資料安全」節點的虛擬主機具有以下需求:
-
至少兩個單獨的主機(建議 3 個)位於同一個安全資料中心
-
VMware ESXi 7.0(或更高版本)已安裝且正在執行。
如果您具有較早版本的 ESXi,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器需求
為金鑰儲存體建立新的資料庫。請勿使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下所示:
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 容錯移轉叢集實例 和Always On 可用性群組)。 |
針對 Microsoft SQL Server 進行 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的 keystore 資料庫,則需要在您的環境中進行以下設定:
-
HDS 節點、Active Directory 基礎結構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取 keystore 資料庫。當請求使用 Kerberos 驗證進行存取時,他們會使用 ISO 設定中的詳細資料來構造 SPN。
外部連線需求
設定防火牆以允許 HDS 應用程式的下列連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
輸出 HTTPS |
|
混合資料安全節點可搭配網路存取轉換 (NAT) 或在防火牆後面使用,只要 NAT 或防火牆允許上表中的網域目的地所需的輸出連線。對於傳入「混合資料安全」節點的連線,在網際網路上應該看不到任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的「混合資料安全」節點以進行管理。
通用身分識別 (CI) 主機的 URL 是地區特定的。以下是目前的 CI 主機:
區域 |
通用身分主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,將繞過(而不是檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的合作夥伴組織已啟用多租戶 HDS 功能,並取得具有合作夥伴完全管理員和完全管理員權限的帳戶的認證。確保您的 Webex 客戶組織已啟用 Pro Pack for Cisco Webex Control Hub。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應具有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備將在叢集中設定為「混合資料安全」節點的相同虛擬主機。您至少需要兩個單獨的主機(建議 3 個)位於同一個安全資料中心,它們符合虛擬主機需求。 |
4 |
根據資料庫伺服器需求。資料庫伺服器必須與虛擬主機位於安全資料中心。 |
5 |
若要快速進行災害復原,請在不同的資料中心設定備份環境。備份環境反映了 VM 和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和 syslog 主機建立安全備份原則。至少,為了防止無法復原的資料遺失,您必須備份資料庫以及為混合資料安全節點產生的組態 ISO 檔案。 由於「混合資料安全」節點會儲存用於加密和解密內容的金鑰,因此無法維護可運作的部署將導致無法復原的損失 的內容。 Webex 應用程式用戶端會快取其金鑰,因此中斷可能不會立即引起注意,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全」節點的操作員應經常維護資料庫和組態 ISO 檔案的備份,並準備在發生災難性故障時重建「混合資料安全」資料中心。 |
8 |
確保您的防火牆設定允許混合資料安全節點的連線,如外部連線需求。 |
9 |
安裝 Docker(https://www.docker.com )在執行支援的作業系統(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,並使用 Web 瀏覽器來存取它http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具會為所有混合資料安全節點建立本機組態資訊。您可能需要 Docker 桌面授權。請參閱Docker 桌面需求 以獲取更多資訊。 若要安裝並執行 HDS 設定工具,本端機器必須具有以下所列的連線:外部連線需求。 |
10 |
如果您要整合 Proxy 與「混合資料安全」,請確保它符合Proxy 伺服器需求。 |
設定混合資料安全叢集
混合資料安全性部署任務流程
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 主控台並設定登入認證。如果您未在部署 OVA 時設定節點的網路設定,請設定這些設定。 |
5 |
從您使用 HDS 設定工具建立的 ISO 設定檔設定 VM。 |
6 |
如果網路環境需要 Proxy 設定,請指定您將用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任存放區。 |
7 |
向 Cisco Webex 雲端註冊 VM 作為「混合資料安全」節點。 |
8 |
完成叢集設定。 |
9 |
在 Partner Hub 上啟動 HDS 並管理租戶組織。 |
執行初始設定並下載安裝檔案
在此任務中,您會將 OVA 檔案下載到您的機器(而不是您設定為「混合資料安全節點」的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入 Partner Hub,然後按一下服務。 |
2 |
在雲端服務部分,找到「混合資料安全」卡片,然後按一下設定。 按一下設定 在 Partner Hub 中,對於部署過程至關重要。請勿在未完成此步驟的情況下繼續安裝。 |
3 |
按一下新增資源 並按一下下載 .OVA 檔案 在安裝和設定軟體 卡。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全」升級不相容。這可能會導致在升級應用程式時發生問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從說明 區段。按一下 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(選用)按一下請參閱混合資料安全性部署指南 以檢查是否有本指南的較新版本可用。 |
為 HDS 主機建立設定 ISO
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有完全管理員權限的 Partner Hub 帳戶的認證。
如果您沒有 Docker Desktop 授權,則可以使用 Podman Desktop 來執行 HDS 設定工具,以執行下列程序中的步驟 1 至 5。請參閱使用 Podman Desktop 執行 HDS 設定工具 以獲取詳細資訊。
如果 HDS 設定工具在環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、憑證) 5 下方。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 | ||||||||||
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在ISO 匯入 頁面,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在「系統日誌」頁面上,設定 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在以下位置變更某些資料庫連線參數的預設值:進階設定。通常,此參數是您可能想要變更的唯一參數: | ||||||||||
15 |
按一下繼續 在重設服務帳戶密碼 螢幕。 服務帳戶密碼的有效期為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案失效時,請使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在容易找到的位置。 | ||||||||||
17 |
在本地系統上製作 ISO 檔案的備份副本。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 | ||||||||||
18 |
若要關閉設定工具,請鍵入 |
下一步
備份設定 ISO 檔。您需要它來建立更多用於復原的節點,或進行組態變更。如果您遺失 ISO 檔案的所有副本,則您也會遺失主要金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫復原金鑰。
我們永遠不會有此金鑰的副本,如果您遺失了它,我們將無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按一下下一頁。 |
4 |
在選取名稱和資料夾 頁面上,輸入虛擬機器名稱 (例如,「HDS_否ode_1"),選擇虛擬機器節點部署可以駐留的位置,然後按一下下一頁。 |
5 |
在選取計算資源 頁面上,選擇目標計算資源,然後按一下下一頁。 執行驗證檢查。完成後,將顯示範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一頁。 |
7 |
如果系統要求您在組態 頁面上,按一下4 個 CPU 然後按一下下一頁。 |
8 |
在選取儲存體 頁面上,按一下下一頁 以接受預設磁碟格式和 VM 儲存策略。 |
9 |
在選取網路 頁面上,從項目清單中選擇網路選項,以提供與 VM 的所需連線。 |
10 |
在自訂範本 頁面上,設定下列網路設定:
如果願意,您可以跳過網路設定組態並遵循設定混合資料安全 VM 以從節點主控台進行設定。 在 OVA 部署期間設定網路設定的選項已使用 ESXi 7.0 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點 VM 上按一下滑鼠右鍵,然後選擇 。「混合資料安全」軟體以訪客身分安裝在 VM 主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全節點虛擬機」主控台並設定登入認證。如果您在部署 OVA 時未設定節點的網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在安裝 HDS 主機 OVA ,跳過此程序的其餘部分。否則,在主功能表中,選取編輯組態 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
由於 ISO 檔案包含主要金鑰,因此只能在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要進行變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇在所有節點選取組態變更後解除掛接 ISO 檔案。請參閱(選用)在設定 HDS 後解除掛接 ISO 以獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 有關支援的 Proxy 選項的概觀。
1 |
輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成這些步驟,然後查看關閉封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的所有快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到「混合資料安全」卡片,然後按一下設定。 |
4 |
在開啟的頁面中,按一下新增資源。 |
5 |
在的第一個欄位中新增節點 卡,輸入要為其指定「混合資料安全」節點的叢集名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按一下新增 在螢幕底部。 此 IP 位址或 FQDN 應該與您在設定混合資料安全 VM 。 出現一條訊息,指出您可以向 Webex 註冊節點。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向至 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在那裡,您確認要授予 Webex 組織存取節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息指出您的節點現已向 Webex 雲端註冊。
|
9 |
按一下鏈結或關閉標籤以返回到 Partner Hub 混合資料安全頁面。 在混合資料安全 頁面上,包含您註冊的節點的新叢集會顯示在資源 標籤。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的所有快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外狀況。
1 |
從 OVA 建立新的虛擬機器,重複步驟安裝 HDS 主機 OVA 。 |
2 |
在新的 VM 上設定初始設定,重複步驟設定混合資料安全 VM 。 |
3 |
在新的 VM 上,重複步驟上傳並掛接 HDS 組態 ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 根據新節點的需要。 |
5 |
註冊節點。 |
在多租戶混合資料安全性上管理租戶組織
在 Partner Hub 上啟動多租戶 HDS
此任務可確保客戶組織的所有使用者都可以開始將 HDS 用於內部部署加密金鑰和其他安全性服務。
開始之前
確保您已使用所需數量的節點完成多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下編輯設定。 |
4 |
按一下啟動 HDS 在HDS 狀態 卡。 |
在 Partner Hub 中新增租戶組織
在此任務中,您會將客戶組織指定給您的混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
按一下您要為其指定客戶的叢集。 |
5 |
轉至指定的客戶 標籤。 |
6 |
按一下新增客戶。 |
7 |
從下拉功能表中選取您要新增的客戶。 |
8 |
按一下新增,客戶將被新增至叢集。 |
9 |
重複步驟 6 至 8 以將多個客戶新增至您的叢集。 |
10 |
按一下完成 新增客戶後,在螢幕底部。 |
下一步
使用 HDS 設定工具建立客戶主要金鑰 (CMK)
開始之前
將客戶指定給適當的叢集,詳細說明如下:在 Partner Hub 中新增租戶組織。執行 HDS 設定工具以完成新增客戶組織的設定程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、憑證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 確保連線至您的資料庫以執行 CMK 管理。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
成功建立 CMK 後,表格中的狀態將從CMK 管理擱置 至CMK 託管。 |
13 |
如果 CMK 建立失敗,則會顯示錯誤。 |
移除租用戶組織
開始之前
移除後,客戶組織的使用者將無法利用 HDS 來滿足其加密需求,並且將失去所有現有空間。在移除客戶組織之前,請聯絡您的 Cisco 合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下檢視全部。 |
4 |
在資源 標籤,按一下您要從中移除客戶組織的叢集。 |
5 |
在開啟的頁面中,按一下指定的客戶。 |
6 |
從顯示的客戶組織清單中,按一下... 在您要移除的客戶組織的右側,然後按一下從叢集中移除。 |
下一步
透過撤銷客戶組織的 CMK 來完成移除程序,如以下所述:撤銷已從 HDS 移除的租戶的 CMK。
撤銷已從 HDS 移除的租戶的 CMK。
開始之前
從適當的叢集中移除客戶,詳細說明如下:移除租用戶組織。執行 HDS 設定工具以完成已移除的客戶組織的移除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有組織完全管理員權限的 Partner Hub 帳戶的認證。
如果 HDS 設定工具在環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、憑證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
設定工具不支援透過以下方式連線至 localhost: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 localhost。 使用 Web 瀏覽器轉至 localhost, 該工具使用使用者名稱的第一個項目來為該帳戶設定適當的環境。然後,該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的 Partner Hub 管理員登入認證,然後按一下登入 以允許存取「混合資料安全」所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在ISO 匯入 頁面上,按一下是。 |
10 |
在瀏覽器中選取您的 ISO 檔案並上傳。 |
11 |
轉至租戶 CMK 管理 標籤,您將在其中找到以下三種管理租戶 CMK 的方法。
|
12 |
CMK 撤銷成功後,客戶組織將不再顯示在表格中。 |
13 |
如果 CMK 撤銷失敗,則會顯示錯誤。 |
測試您的混合資料安全部署
測試混合資料安全性部署
開始之前
-
設定多租戶混合資料安全部署。
-
確保您有權存取 syslog,以驗證金鑰請求是否正在傳遞至多租戶混合資料安全部署。
1 |
給定空間的金鑰由空間的建立者設定。以客戶組織使用者之一身分登入 Webex 應用程式,然後建立空間。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出以驗證金鑰請求是否傳遞至混合資料安全部署。 |
監視混合資料安全性的性能
1 |
在合作夥伴中心,選取服務 從螢幕左側的功能表中。 |
2 |
在雲端服務區段中,找到混合資料安全性,然後按一下 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理 HDS 部署
管理 HDS 部署
使用此處描述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務區段中,找到混合資料安全性,然後按一下設定 |
4 |
在「混合資料安全資源」頁面上,選取叢集。 |
5 |
按一下叢集設定 標籤。 |
6 |
在「叢集設定」頁面的升級排程下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如果需要,您可以將升級推遲到下一天,方法是按一下延遲 24 小時。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼都可以使用最多 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程序需要具有合作夥伴完全管理員權限的 Partner Hub 帳戶的認證。
如果您沒有 Docker Desktop 授權,則可以使用 Podman Desktop 來執行 HDS 設定工具,以執行下列程序中的步驟 1.a 至 1.e。請參閱使用 Podman Desktop 執行 HDS 設定工具 以獲取詳細資訊。
如果 HDS 設定工具在環境中的 Proxy 後面執行,則在1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在執行,建立新的「混合資料安全節點」虛擬機,並使用新的設定 ISO 檔案進行註冊。有關更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全」節點介面(例如,IP 位址/設定,https://192.0.2.0/setup), 輸入您為節點設定的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除 VM。(在左側導覽窗格中,用滑鼠右鍵按一下 VM,然後按一下刪除。) 如果您未刪除 VM,請記住解除掛接設定 ISO 檔案。如果沒有 ISO 檔案,您將無法使用 VM 來存取您的安全性資料。 |
使用備用資料中心進行災害復原
「混合資料安全」叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的訊息和其他內容的金鑰。對於組織內指定給「混合資料安全」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。遺失混合資料安全資料庫或用於綱要的設定 ISO 將導致客戶內容無法復原。若要防止此類流失,必須執行下列作法:
若災害導致主要資料中心中的 HDS 部署不可用,請遵循此流程以手動容錯移轉至備用資料中心。
開始之前
1 |
啟動 HDS 設定工具並遵循為 HDS 主機建立組態 ISO 。 |
2 |
完成設定程序並將 ISO 檔案儲存在容易找到的位置。 |
3 |
在本地系統上製作 ISO 檔案的備份副本。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。將存取權限制為僅應進行組態變更的混合資料安全管理員。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
按一下編輯設定 > CD/DVD 光碟機 1 並選取資料存放區 ISO 檔案。 確保已連線 和開啟電源時連線 已勾選,以便更新的組態變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點並確保至少 15 分鐘內沒有警報。 |
7 |
在合作夥伴中心註冊節點。參考註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此過程。 |
下一步
(選用)在設定 HDS 後解除掛接 ISO
標準 HDS 組態在掛接 ISO 的情況下執行。但是,有些客戶不希望持續掛接 ISO 檔案。您可以在所有 HDS 節點選取新組態後解除掛接 ISO 檔案。
您仍會使用 ISO 檔案來進行組態變更。當您透過設定工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上掛接更新的 ISO。當您的所有節點選取組態變更後,您可以使用此程序再次解除掛接 ISO。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料存放區 ISO 檔案。 並取消勾選 |
4 |
開啟 HDS 節點並確保至少 20 分鐘內沒有警報。 |
5 |
依次對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法連線,或者叢集執行速度太慢以致請求逾時,則認為「混合資料安全」部署不可用。如果使用者無法存取您的混合資料安全叢集,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控「混合資料安全性叢集」並及時處理任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Partner Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的 Webex 伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
在 Partner Hub 中啟動 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
未完成新增組織的租戶組織設定 |
透過使用 HDS 設定工具為新增的租戶組織建立 CMK 來完成設定。 |
已移除組織的租戶組織設定未完成 |
透過撤銷使用 HDS 設定工具移除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
檢查 Partner Hub 是否有任何警示,並修正您在其中找到的任何項目。請參閱下面的影像以供參考。 |
2 |
檢閱 Syslog 伺服器輸出以了解混合資料安全部署中的活動。篩選「警告」和「錯誤」等字詞以協助進行疑難排解。 |
3 |
聯絡 Cisco 技術支援。 |
其他注意事項
混合資料安全性的已知問題
-
如果您關閉「混合資料安全叢集」(透過在 Partner Hub 中刪除它或關閉所有節點)、遺失設定 ISO 檔案或無法存取 keystore 資料庫,則客戶組織的 Webex 應用程式使用者無法再使用下方的空間使用 KMS 中的金鑰建立的人員清單。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 Podman Desktop 執行 HDS 設定工具
Podman 是一個免費的開放源碼容器管理工具,它提供了一種執行、管理和建立容器的方法。Podman Desktop 可從以下位置下載:https://podman-desktop.io/downloads 。
-
「HDS 設定工具」在本端機器上作為 Docker 儲存器執行。若要存取它,請在該機器上下載並執行 Podman。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在環境中的 Proxy 後面執行,請在步驟中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、憑證) 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的組態 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。每當您進行組態變更時,都需要此檔案的最新副本,例如:
-
資料庫認證
-
憑證更新
-
授權原則變更
-
-
如果您計劃加密資料庫連線,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定程序會建立 ISO 檔案。然後,您可以使用 ISO 來設定「混合資料安全」主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
下一步
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您選擇使用 OpenSSL,我們將提供此程序作為指南,以幫助您建立符合 X.509 憑證需求的檔案X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您從 CA 收到伺服器憑證時,請將其另存為 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器建立名為
|
4 |
使用好記名稱建立 .p12 檔案
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回至完成混合資料安全的先決條件。您將使用hdsnode.p12
檔案,以及您為其設定的密碼,在為 HDS 主機建立組態 ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新的憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點會將某些指標傳送至 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
「混合資料安全」節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立(wss:
)連線(混合資料安全性所需)。這些部分提供有關如何設定要忽略的各種 Squid 版本的指引wss:
流量以確保服務正常運作。
Squid 4 和 5
新增on_unsupported_protocol
指令至squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們已成功測試混合資料安全性,並將以下規則新增至squid.conf
。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新資訊和變更訊息
新資訊和變更訊息
此表涵蓋了新功能或功能、對現有內容的變更以及在 多租戶混合資料安全部署指南中修復的任何重大錯誤。
日期 |
所做的更改 |
---|---|
2025年5月8日 |
|
2025年3月4日 |
|
2025年1月30日 |
在 資料庫伺服器需求中,將 SQL 伺服器版本 2022 新增至支援的 SQL 伺服器清單。 |
2025年1月15日 |
新增了 多租戶混合資料安全的限制。 |
2025年1月8日 |
在 執行初始設定並下載安裝檔案 中新增了一條註釋,指出點擊合作夥伴中心的 HDS 卡上的 設定 是安裝過程的重要步驟。 |
2025年1月7日 |
更新了 虛擬主機要求、 混合資料安全部署任務流程和 安裝 HDS 主機 OVA 以顯示 ESXi 7.0 的新要求。 |
2024年12月13日 |
首次發表。 |
停用多租戶混合資料安全
多租用戶 HDS 停用任務流程
請依照下列步驟完全停用多租用戶 HDS。
在開始之前
1 |
從所有叢集中刪除所有客戶,如 刪除租用戶組織中所述。 |
2 |
撤銷所有客戶的 CMK,如 撤銷從 HDS 移除的租戶的 CMK 中所述。。 |
3 |
從所有叢集中刪除所有節點,如 刪除節點中所述。 |
4 |
使用以下兩種方法之一從合作夥伴中心刪除所有叢集。
|
5 |
點選混合資料安全性概覽頁面上的 設定 選項卡,然後點選HDS狀態卡上的 停用HDS 。 |
開始使用多租戶混合資料安全
多租戶混合資料安全概述
從第一天起,資料安全就是設計 Webex App 的主要關注點。這種安全性的基石是端對端內容加密,由與金鑰管理服務 (KMS) 互動的 Webex App 用戶端實作。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有 Webex App 用戶都可以在 Cisco 的安全性領域中使用儲存在雲端 KMS 中的動態金鑰來獲得端對端加密。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
多租戶混合資料安全 使組織能夠透過值得信賴的本地合作夥伴利用 HDS,該合作夥伴可以充當服務提供者並管理內部加密和其他安全服務。此設定允許合作夥伴組織完全控制加密金鑰的部署和管理,並確保客戶組織的使用者資料免受外部存取。合作夥伴組織根據需要設定 HDS 實例並建立 HDS 叢集。每個執行個體可以支援多個客戶組織,而不是像常規 HDS 部署那樣僅限於單一組織。
這也使得較小的組織能夠利用 HDS,因為金鑰管理服務和安全基礎設施(如資料中心)歸值得信賴的本地合作夥伴所有。
多租戶混合資料安全如何提供資料主權和資料控制
- 用戶產生的內容受到保護,不被外部訪問,例如雲端服務提供者。
- 當地值得信賴的合作夥伴負責管理已與其建立關係的客戶的加密金鑰。
- 如果合作夥伴提供本地技術支持,則可選擇本地技術支援。
- 支援會議、訊息和通話內容。
本文檔旨在協助合作夥伴組織在多租戶混合資料安全系統下建立和管理客戶。
多租戶混合資料安全的局限性
- 合作夥伴組織不得在 Control Hub 中啟動任何現有的 HDS 部署。
- 希望由合作夥伴管理的租戶或客戶組織不得在 Control Hub 中部署任何現有的 HDS。
- 一旦合作夥伴部署了多租戶 HDS,客戶組織的所有使用者以及合作夥伴組織的使用者都會開始利用多租戶 HDS 提供加密服務。
他們管理的合作夥伴組織和客戶組織將採用相同的多租戶 HDS 部署。
部署多租戶 HDS 後,合作夥伴組織將不再使用雲端 KMS。
- HDS 部署後,沒有機制將金鑰移回 Cloud KMS。
- 目前,每個多租戶 HDS 部署只能有一個集群,其下方有多個節點。
- 管理員角色有一定的限制;請參閱下面的部分以了解詳細資訊。
多租戶混合資料安全中的角色
- 合作夥伴完全管理員 - 可以管理合作夥伴管理的所有客戶的設定。也可以將管理員角色指定給組織中現有的使用者,以及指定要由合作夥伴管理員管理的特定客戶。
- 合作夥伴管理員 - 可以管理管理員配置的或已指派給使用者的客戶的設定。
- 完全管理員 - 合作夥伴組織的管理員,有權執行修改組織設定、管理授權和指派角色等任務。
- 端對端多租用戶 HDS 設定和管理所有客戶組織 - 需要合作夥伴完全管理員和完全管理員權限。
- 指派的租用戶組織的管理 - 需要合作夥伴管理員和完全管理員權限。
安全領域架構
Webex 雲端架構將不同類型的服務分割到不同的領域或信任域中,如下所示。

為了進一步了解混合資料安全,我們首先來看看純雲端案例,其中思科在其雲端領域中提供所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖中,用戶端是在使用者筆記型電腦上運行的 Webex 應用程序,並已透過身份服務進行身份驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署混合式資料安全性時,您會將安全性領域功能(KMS、索引和合規性)移至您的本機資料中心。構成 Webex 的其他雲端服務(包括身分和內容儲存)仍屬於思科的領域。
與其他組織協作
您組織中的使用者可能會定期使用 Webex 應用程式與其他組織中的外部參與者進行協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有該空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到 Webex 雲,以從適當的 KMS 取得金鑰,然後在原始通道上將金鑰傳回給您的使用者。

組織 A 上執行的 KMS 服務使用 x.509 PKI 憑證驗證與其他組織中的 KMS 的連線。有關產生用於多租戶混合資料安全部署的 x.509 憑證的詳細信息,請參閱 準備您的環境 。
部署混合資料安全性的意外狀況
混合資料安全部署需要大量的投入和對擁有加密金鑰所帶來的風險的認識。
要部署混合資料安全,您必須提供:
-
受 Cisco Webex Teams 計畫支援的國家的安全資料中心。
-
準備您的環境中所述的設備、軟體和網路存取。
您為混合資料安全所建置的配置 ISO 或您提供的資料庫的完全遺失將導致金鑰遺失。金鑰遺失會阻止使用者解密 Webex App 中的空間內容和其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
一旦發生災難,例如資料庫磁碟故障或資料中心災難,準備好執行快速災難復原。
HDS 部署後,沒有機制將金鑰移回雲端。
進階設定過程
本文檔涵蓋多租戶混合資料安全部署的設定和管理:
-
設定混合資料安全— 這包括準備所需的基礎架構和安裝混合資料安全軟體、建置 HDS 叢集、向叢集新增租用戶組織並管理其客戶主金鑰 (CMK)。這將使您的客戶組織的所有使用者能夠使用您的混合資料安全叢集來實現安全功能。
接下來的三章將詳細介紹設定、啟動和管理階段。
-
維護您的混合資料安全部署—Webex 雲端自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在合作夥伴中心使用螢幕通知並設定基於電子郵件的警報。
-
了解常見警報、故障排除步驟和已知問題— 如果您在部署或使用混合資料安全時遇到麻煩,本指南的最後一章和已知問題附錄可能會幫助您確定和解決問題。
混合資料安全性部署模型
在企業資料中心內,您可以將混合資料安全性部署為位於單獨虛擬主機上的單一節點叢集。節點透過安全的 websockets 和安全性 HTTP 與 Webex 雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器和 PostgreSQL 或 Microsoft SQL Server 資料庫。(您可以在 HDS 設定工具中設定 Syslogd 和資料庫連線詳細資訊。)

叢集中至少可以有 2 個節點。我們建議每個集群至少有三個。擁有多個節點可確保在節點上進行軟體升級或其他維護活動期間服務不會中斷。(Webex 雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在合作夥伴中心註冊節點時,節點就會變成活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
災難復原備用資料中心
在部署期間,您設定一個安全的備用資料中心。如果發生資料中心災難,您可以手動將部署故障轉移到備用資料中心。

活動資料中心和備用資料中心的資料庫相互同步,這將最大限度地減少執行故障轉移所需的時間。
活動的混合資料安全節點必須始終與活動的資料庫伺服器位於同一資料中心。
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無代理— 如果您不使用 HDS 節點設定信任庫,則預設為 & 代理配置以整合代理。無需更新憑證。
-
透明非檢查代理— 節點未配置為使用特定的代理伺服器位址,且不需要任何變更即可與非檢查代理一起工作。無需更新憑證。
-
透明隧道或檢查代理— 節點未配置為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確代理— 使用明確代理,您可以告訴 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理人 IP/FQDN— 可用於存取代理機器的位址。
-
代理連接埠— 代理用於偵聽代理流量的連接埠號碼。
-
代理協定— 根據您的代理伺服器支援的內容,在以下協定之間進行選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 從下列驗證類型中選擇:
-
無— 無需進一步身份驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本— 用於 HTTP 使用者代理在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
Digest—用於在發送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
多租戶混合資料安全的要求
Cisco Webex 許可證需求
要部署多租戶混合資料安全:
-
合作組織:聯絡您的思科合作夥伴或客戶經理,確保多租用戶功能已啟用。
-
租戶組織:您必須擁有 Cisco Webex Control Hub 的 Pro Pack。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
在安裝 HDS 節點之前,您需要 Docker Desktop 來執行安裝程式。Docker 最近更新了他們的授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
沒有 Docker Desktop 授權的客戶可以使用 Podman Desktop 等開源容器管理工具來運作、管理和建立容器。有關詳細信息,請參閱 使用 Podman Desktop 運行 HDS 安裝工具 。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
預設情況下,我們信任 https://wiki.mozilla.org/CA:IncludedCAs中的 Mozilla 清單中的 CA(WoSign 和 StartCom 除外)。 |
|
CN 不需要能夠存取或不需要活動主機。我們建議您使用能夠反映您的組織的名稱,例如 CN 不得包含 * (通配符)。 CN 用於向 Webex App 用戶端驗證混合資料安全節點。叢集中的所有混合資料安全節點都使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中設定為混合資料安全節點的虛擬主機具有下列需求:
-
至少兩個獨立的主機(建議 3 個)位於同一安全資料中心
-
VMware ESXi 7.0 或 8.0 已安裝並正在運作。
如果您擁有早期版本的 ESXi,則必須升級。
-
每台伺服器至少有 4 個 vCPU、8 GB 主記憶體、30 GB 本地硬碟空間
資料庫伺服器要求
建立一個用於密鑰儲存的新資料庫。不要使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個要求如下:
PostgreSQL |
微軟 SQL 伺服器 |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝下列驅動程式版本以便與資料庫伺服器通訊:
PostgreSQL |
微軟 SQL 伺服器 |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援 SQL Server Always On( Always On 故障轉移叢集實例 和 Always On 可用性群組)。 |
針對 Microsoft SQL Server 的 Windows 驗證的附加要求
如果您希望 HDS 節點使用 Windows 驗證來存取 Microsoft SQL Server 上的金鑰庫資料庫,則需要在您的環境中進行下列設定:
-
HDS 節點、Active Directory 基礎架構和 MS SQL Server 都必須與 NTP 同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有 read/write 存取資料庫。
-
您提供給 HDS 節點的 DNS 伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以將 Microsoft SQL Server 上的 HDS 資料庫執行個體註冊為 Active Directory 上的服務主體名稱 (SPN)。請參閱 為 Kerberos 連線註冊服務主體名稱。
HDS 安裝工具、HDS 啟動器和本機 KMS 都需要使用 Windows 驗證來存取金鑰庫資料庫。當使用 Kerberos 驗證請求存取權時,他們會使用 ISO 配置中的詳細資訊來建置 SPN。
外部連接要求
配置防火牆以允許 HDS 應用程式進行以下連線:
應用程式 |
通訊協定 |
埠 |
應用程式的指示 |
目的地 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS設定工具 |
TCP |
443 |
出站 HTTPS |
|
混合資料安全節點可與網路存取轉換 (NAT) 搭配使用或在防火牆後面運作,只要 NAT 或防火牆允許與上表中的網域目標建立所需的出站連線即可。對於進入混合資料安全節點的連接,互聯網上不應顯示任何連接埠。在您的資料中心內,用戶端需要存取 TCP 連接埠 443 和 22 上的混合資料安全節點,以便進行管理。
通用身分 (CI) 主機的 URL 是特定於區域的。這些是目前的 CI 主機:
區域 |
通用身分主機 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
新加坡 |
|
阿拉伯聯合大公國 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid 代理程式可能會幹擾 websocket 的建立 (wss:) 連接。若要解決此問題,請參閱 為混合資料安全性配置 Squid 代理。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果出現此問題,繞過(不檢查)到
wbx2.com
和ciscospark.com
的流量將解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的合作夥伴組織已啟用多租用戶 HDS 功能,並取得具有合作夥伴完全管理員和完全管理員權限的帳戶的憑證。確保您的 Webex 客戶組織已啟用 Cisco Webex Control Hub 的 Pro Pack。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 客戶組織不應有任何現有的 HDS 部署。 |
2 |
為您的 HDS 部署選擇一個網域名稱(例如, |
3 |
準備相同的虛擬主機,將其設定為叢集中的混合資料安全節點。您至少需要兩個獨立的主機(建議 3 個)位於同一個安全的資料中心,並且符合 虛擬主機要求中的要求。 |
4 |
根據 資料庫伺服器要求,準備將作為叢集的關鍵資料儲存的資料庫伺服器。資料庫伺服器必須與虛擬主機位於同一安全資料中心。 |
5 |
為了快速實現災難恢復,請在不同的資料中心設定備份環境。備份環境鏡像了虛擬機器和備份資料庫伺服器的生產環境。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為混合資料安全節點、資料庫伺服器和系統日誌主機建立安全備份策略。至少,為了防止無法復原的資料遺失,您必須備份資料庫和為混合資料安全節點產生的配置 ISO 檔案。 由於混合資料安全節點儲存了用於加密和解密內容的金鑰,因此無法維持操作部署將導致該內容的 無法復原的遺失 。 Webex App 用戶端會快取其金鑰,因此中斷可能不會立即被注意到,但會隨著時間的推移而變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。混合資料安全節點的營運商需要經常備份資料庫和配置 ISO 文件,並準備在發生災難性故障時重建混合資料安全資料中心。 |
8 |
確保您的防火牆配置允許您的混合資料安全節點進行連接,如 外部連接要求所述。 |
9 |
在任何執行受支援作業系統(Microsoft Windows 10 Professional 或 Enterprise 64 位,或 Mac OSX Yosemite 10.10.3 或更高版本)的本機電腦上安裝 Docker( https://www.docker.com),並使用可透過 http://127.0.0.1:8080.存取的 Web 瀏覽器 您使用 Docker 執行個體下載並執行 HDS 安裝工具,該工具會為所有混合資料安全節點建置本機設定資訊。您可能需要 Docker Desktop 授權。有關更多信息,請參閱 Docker Desktop 要求 。 若要安裝和執行 HDS 設定工具,本機必須具有 外部連線需求中概述的連線。 |
10 |
如果您將代理與混合資料安全性集成,請確保它符合 代理伺服器要求。 |
設定混合資料安全集群
混合資料安全部署任務流程
1 |
將 OVA 檔案下載到本機以供日後使用。 |
2 |
使用 HDS 設定工具為混合資料安全節點建立 ISO 設定檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始配置,例如網路設定。 OVA 部署期間配置網路設定的選項已使用 ESXi 7.0 和 8.0 進行了測試。該選項在早期版本中可能不可用。 |
4 |
登入 VM 控制台並設定登入憑證。如果在部署 OVA 時未配置節點的網路設置,請配置節點的網路設定。 |
5 |
使用 HDS 安裝工具建立的 ISO 設定檔來設定 VM。 |
6 |
如果網路環境需要代理配置,請指定將用於節點的代理類型,並在需要時將代理憑證新增至信任庫。 |
7 |
將 VM 作為混合資料安全節點註冊到 Cisco Webex 雲端。 |
8 |
完成集群設定。 |
9 |
在合作夥伴中心啟動 HDS 並管理租戶組織。 |
執行初始設定並下載安裝文件
在此任務中,您將 OVA 檔案下載到您的機器(而不是您設定為混合資料安全節點的伺服器)。可在安裝過程中稍後使用此檔案。
1 |
登入合作夥伴中心,然後按一下 服務。 |
2 |
在雲端服務部分,找到混合資料安全卡,然後按一下 設定。 點擊合作夥伴中心中的 設定 對於部署過程至關重要。如果未完成此步驟,請勿繼續安裝。 |
3 |
按一下 新增資源 ,然後按 安裝和設定軟體 卡上的 下載.OVA檔案 。 舊版的軟體包(OVA)與最新的混合資料安全升級不相容。這可能會導致升級應用程式時出現問題。確保下載最新版本的 OVA 檔案。 您也可以隨時從 幫助 部分下載 OVA。點選 。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
或者,按 查看混合資料安全部署指南 以檢查是否有此指南的更高版本可用。 |
為 HDS 主機建立設定 ISO
混合資料安全設定過程會建立一個 ISO 檔案。然後使用 ISO 配置混合資料安全主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有完全管理員權限的合作夥伴中心帳戶的憑證。
如果您沒有 Docker Desktop 許可證,您可以使用 Podman Desktop 執行 HDS 設定工具,執行下列步驟中的第 1 步至第 5 步驟。有關詳細信息,請參閱 使用 Podman Desktop 運行 HDS 安裝工具 。
如果 HDS 設定工具在您的環境中的代理程式後面運行,請在下面的步驟 5 啟動 Docker 容器時透過 Docker 環境變數提供代理設定(伺服器、連接埠、憑證)。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的設定 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主金鑰。無論何時進行配置更改,您都需要此文件的最新副本,例如:
-
資料庫憑證
-
證書更新
-
授權政策變更
-
-
如果您計劃加密資料庫連接,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
安裝工具不支援透過 連接到本機主機 http://localhost:8080。使用 http://127.0.0.1:8080 連接到本機。 使用 Web 瀏覽器前往本機 該工具使用使用者名稱的第一個條目來為該帳戶設定適當的環境。然後該工具會顯示標準登入提示。 | ||||||||||
7 |
出現提示時,輸入您的合作夥伴中心管理員登入憑證,然後按一下 登入 以允許存取混合資料安全所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
在 ISO 匯入 頁面上,您有以下選項:
| ||||||||||
10 |
檢查您的 X.509 證書是否符合 X.509 證書要求中的要求。
| ||||||||||
11 |
輸入 HDS 存取您的金鑰資料儲存的資料庫位址和帳戶: | ||||||||||
12 |
選擇 TLS 資料庫連線模式:
當您上傳根憑證(如有必要)並按一下 繼續時,HDS 設定工具會測試與資料庫伺服器的 TLS 連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立 TLS 連線。) | ||||||||||
13 |
在系統日誌頁面上,設定您的 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在 進階設定中變更某些資料庫連線參數的預設值。通常,此參數是您可能想要更改的唯一參數: | ||||||||||
15 |
在 「重設服務帳戶密碼 」畫面上,按一下 「繼續 」 。 服務帳戶密碼的有效期限為九個月。當您的密碼即將到期或您想要重設密碼以使先前的 ISO 檔案無效時,請使用此畫面。 | ||||||||||
16 |
按一下下載 ISO 檔。將文件保存在易於找到的位置。 | ||||||||||
17 |
在本機系統上製作 ISO 檔案的備份副本。 確保備份副本的安全。此檔案包含用於資料庫內容的主要加密金鑰。僅限制那些應該進行配置更改的混合資料安全管理員的存取權限。 | ||||||||||
18 |
若要關閉安裝工具,請鍵入 |
下一步
備份設定 ISO 檔。您需要它來創建更多節點以進行恢復,或進行配置更改。如果您遺失了 ISO 檔案的所有副本,那麼您也會遺失主金鑰。無法從 PostgreSQL 或 Microsoft SQL Server 資料庫還原金鑰。
我們從來沒有這把鑰匙的副本,如果您丟失了它,我們也無法提供幫助。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您先前下載的 OVA 檔案的位置,然後按 下一步。 |
4 |
在 選擇名稱和資料夾 頁面上,輸入節點的 虛擬機器名稱 (例如,「HDS_Node_1」),選擇虛擬機器節點部署可以駐留的位置,然後按 下一步。 |
5 |
在 選擇計算資源 頁面上,選擇目標計算資源,然後按 下一步。 運行驗證檢查。完成後,將顯示模板詳細資訊。 |
6 |
驗證模板詳細信息,然後按一下 下一步。 |
7 |
如果在 配置 頁面上要求您選擇資源配置,請按一下 4 CPU ,然後按一下 下一步。 |
8 |
在 選擇儲存 頁面上,按 下一步 接受預設磁碟格式和虛擬機器儲存策略。 |
9 |
在 選擇網路 頁面上,從條目清單中選擇網路選項,為虛擬機器提供所需的連線。 |
10 |
在 自訂範本 頁面上,配置以下網路設定:
如果您願意,您可以跳過網路設定配置,並按照 設定混合資料安全虛擬機器 中的步驟從節點控制台配置設定。 OVA 部署期間配置網路設定的選項已使用 ESXi 7.0 和 8.0 進行了測試。該選項在早期版本中可能不可用。 |
11 |
右鍵點選節點VM,然後選擇 。混合資料安全軟體作為來賓安裝在 VM 主機上。現在您可以登入控制台並配置節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此程序首次登入混合資料安全節點 VM 控制台並設定登入憑證。如果您在部署 OVA 時沒有配置節點的網路設置,您也可以使用控制台來設定這些設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已經在 安裝 HDS 主機 OVA中配置了網路設置,請跳過此程序的其餘部分。否則,在主選單中,選擇 編輯配置 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援 DHCP。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
在開始之前
由於 ISO 檔案保存主金鑰,因此它應該只在「需要知道」的基礎上公開,以供混合資料安全虛擬機和可能需要進行更改的任何管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以在所有節點取得配置變更後選擇卸載 ISO 檔案。有關詳細信息,請參閱 (可選)在 HDS 配置後卸載 ISO 。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
在開始之前
-
請參閱 代理支援 以了解受支援的代理選項的概述。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成下列步驟,然後參閱 關閉已封鎖的外部 DNS 解析模式。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
在開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的所有彈出視窗阻止程式都已停用,或允許 admin.webex.com 例外。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務部分,找到混合資料安全卡,點選 設定。 |
4 |
在開啟的頁面中,點選 新增資源。 |
5 |
在 新增節點 卡的第一個欄位中,輸入要將混合資料安全節點指派到的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。例如:“舊金山”或“紐約”或“達拉斯” |
6 |
在第二個欄位中,輸入您的節點的內部 IP 位址或完全限定網域名稱 (FQDN),然後按一下螢幕底部的 新增 。 此 IP 位址或 FQDN 應與您在 設定混合資料安全 VM中使用的 IP 位址或主機名稱和網域相符。 出現一則訊息,表示您可以將您的節點註冊到 Webex。
|
7 |
按一下移至節點。 片刻之後,您將被重新導向到 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在此處,您確認您想要授予您的 Webex 組織存取您的節點的權限。 |
8 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,「註冊完成」訊息表示您的節點現已註冊到 Webex 雲端。
|
9 |
點擊連結或關閉標籤即可返回合作夥伴中心混合資料安全頁面。 在 混合資料安全性 頁面上,包含您註冊的節點的新叢集顯示在 資源 標籤下。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
在開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的所有彈出視窗阻止程式都已停用,或允許 admin.webex.com 例外。
1 |
從 OVA 建立一個新的虛擬機,重複 安裝 HDS 主機 OVA中的步驟。 |
2 |
在新虛擬機器上設定初始配置,重複 設定混合資料安全虛擬機器中的步驟。 |
3 |
在新虛擬機器上,重複 上傳和掛載 HDS 配置 ISO中的步驟。 |
4 |
如果您正在為部署設定代理,請根據新節點的需要重複 為代理整合配置 HDS 節點 中的步驟。 |
5 |
註冊節點。 |
管理多租戶混合資料安全的租戶組織
在合作夥伴中心啟動多租戶 HDS
此任務確保客戶組織的所有使用者都可以開始利用 HDS 實現內部加密金鑰和其他安全服務。
在開始之前
確保您已完成具有所需節點數的多租戶 HDS 叢集的設定。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務部分,找到混合資料安全性並點選 編輯設定。 |
4 |
點選 HDS 狀態 卡片上的 啟動 HDS [ 。 |
在合作夥伴中心新增租戶組織
在此任務中,您將客戶組織指派到混合資料安全叢集。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務部分,找到混合資料安全性並點擊 查看全部。 |
4 |
點選您想要分配客戶到的叢集。 |
5 |
轉到 已分配客戶 選項卡。 |
6 |
點選 新增客戶。 |
7 |
從下拉式選單中選擇您想要新增的客戶。 |
8 |
點擊 新增,客戶將被加入到集群中。 |
9 |
重複步驟 6 至 8,將多個客戶新增至您的叢集。 |
10 |
新增客戶後,點擊螢幕底部的 完成 。 |
下一步
使用 HDS 設定工具建立客戶主金鑰 (CMK)
在開始之前
按照 在合作夥伴中心新增租戶組織中的詳細說明將客戶分配到適當的集群。執行 HDS 設定工具來完成新新增的客戶組織的設定流程。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要您組織的具有完全管理員權限的合作夥伴中心帳戶的憑證。
如果 HDS 安裝工具在您的環境中在代理程式後面執行,請在步驟 5中啟動 Docker 容器時透過 Docker 環境變數提供代理設定(伺服器、連接埠、憑證)。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的設定 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主金鑰。無論何時進行配置更改,您都需要此文件的最新副本,例如:
-
資料庫憑證
-
證書更新
-
授權政策變更
-
-
如果您計劃加密資料庫連接,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定過程會建立一個 ISO 檔案。然後使用 ISO 配置混合資料安全主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
安裝工具不支援透過 連接到本機主機 http://localhost:8080。使用 http://127.0.0.1:8080 連接到本機。 使用 Web 瀏覽器前往本機 該工具使用使用者名稱的第一個條目來為該帳戶設定適當的環境。然後該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的合作夥伴中心管理員登入憑證,然後按一下 登入 以允許存取混合資料安全所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在 ISO 匯入 頁面上,按一下 是。 |
10 |
在瀏覽器中選擇您的 ISO 檔案並上傳。 確保與資料庫的連線以執行 CMK 管理。 |
11 |
前往 租戶 CMK 管理 選項卡,您將在這裡找到以下三種管理租戶 CMK 的方式。
|
12 |
CMK 建立成功後,表格中的狀態將從 CMK management pending 改為 CMK managed。 |
13 |
如果 CMK 建立不成功,則會顯示錯誤。 |
刪除租戶組織
在開始之前
一旦刪除,客戶組織的使用者將無法利用 HDS 滿足其加密需求,並將失去所有現有空間。在刪除客戶組織之前,請聯絡您的思科合作夥伴或客戶經理。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務部分,找到混合資料安全性並點擊 查看全部。 |
4 |
在 資源 標籤上,按一下您想要從中刪除客戶組織的叢集。 |
5 |
在開啟的頁面中,點選 已指派的客戶。 |
6 |
從顯示的客戶組織清單中,按一下要刪除的客戶組織右側的 ... ,然後按 從叢集中刪除。 |
下一步
透過撤銷客戶組織的 CMK 來完成刪除過程,如 撤銷從 HDS 中刪除的租戶的 CMK 中所述。
撤銷已從 HDS 移除的租戶的 CMK。
在開始之前
按照 刪除租戶組織中的詳細說明從適當的群集中刪除客戶。執行 HDS 安裝工具以完成已刪除的客戶組織的刪除程序。
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要您組織的具有完全管理員權限的合作夥伴中心帳戶的憑證。
如果 HDS 安裝工具在您的環境中在代理程式後面執行,請在步驟 5中啟動 Docker 容器時透過 Docker 環境變數提供代理設定(伺服器、連接埠、憑證)。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的設定 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主金鑰。無論何時進行配置更改,您都需要此文件的最新副本,例如:
-
資料庫憑證
-
證書更新
-
授權政策變更
-
-
如果您計劃加密資料庫連接,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定過程會建立一個 ISO 檔案。然後使用 ISO 配置混合資料安全主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
6 |
安裝工具不支援透過 連接到本機主機 http://localhost:8080。使用 http://127.0.0.1:8080 連接到本機。 使用 Web 瀏覽器前往本機 該工具使用使用者名稱的第一個條目來為該帳戶設定適當的環境。然後該工具會顯示標準登入提示。 |
7 |
出現提示時,輸入您的合作夥伴中心管理員登入憑證,然後按一下 登入 以允許存取混合資料安全所需的服務。 |
8 |
在「設定工具」概觀頁面上,按一下入門。 |
9 |
在 ISO 匯入 頁面上,按一下 是。 |
10 |
在瀏覽器中選擇您的 ISO 檔案並上傳。 |
11 |
前往 租戶 CMK 管理 選項卡,您將在這裡找到以下三種管理租戶 CMK 的方式。
|
12 |
一旦 CMK 撤銷成功,客戶組織將不再出現在表中。 |
13 |
如果 CMK 撤銷不成功,則會顯示錯誤。 |
測試混合式資料安全部署
測試混合資料安全性部署
在開始之前
-
設定多租戶混合資料安全部署。
-
確保您有權存取系統日誌,以驗證關鍵請求是否傳遞到您的多租戶混合資料安全部署。
1 |
給定空間的金鑰由空間的建立者設定。以客戶組織使用者之一的身份登入 Webex 應用程序,然後建立一個空間。 如果您停用混合資料安全部署,一旦用戶端快取的加密金鑰副本被替換,使用者建立的空間中的內容將不再可存取。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查系統日誌輸出以驗證金鑰請求是否傳遞到您的混合資料安全部署。 如果新新增的客戶組織的使用者執行任何操作,則該組織的組織 ID 將出現在日誌中,這可用於驗證組織是否正在利用多租戶 HDS。檢查系統日誌中 |
監視混合資料安全性的性能
1 |
在 合作夥伴中心中,從螢幕左側的選單中選擇 服務 。 |
2 |
在雲端服務部分,找到混合資料安全性並點選 編輯設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
管理您的 HDS 部署
管理 HDS 部署
使用此處所述的任務來管理您的混合資料安全部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Partner Hub。 |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在雲端服務部分,找到混合資料安全,點選 設定 |
4 |
在混合資料安全資源頁面,選擇叢集。 |
5 |
點選 叢集設定 標籤。 |
6 |
在「叢集設定」頁面的「升級計畫」下,選擇升級計畫的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如果需要,您可以點擊 延遲 24 小時將升級推遲到第二天。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 新舊密碼均有效期限最長為 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重置— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定過程需要具有合作夥伴完全管理員權限的合作夥伴中心帳戶的憑證。
如果您沒有 Docker Desktop 許可證,您可以使用 Podman Desktop 執行 HDS 設定工具,執行下列步驟中的步驟 1.a 至 1.e。有關詳細信息,請參閱 使用 Podman Desktop 運行 HDS 安裝工具 。
如果 HDS 設定工具在您的環境中在代理程式後面運行,請在 1.e中啟動 Docker 容器時透過 Docker 環境變數提供代理設定(伺服器、連接埠、憑證)。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
如果您只有一個 HDS 節點正在運行,請建立一個新的混合資料安全節點 VM 並使用新的設定 ISO 檔案進行註冊。有關更詳細的說明,請參閱 建立和註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
在開始之前
1 |
在 Web 瀏覽器中,開啟混合資料安全節點介面(IP address/setup, 例如, https://192.0.2.0/setup), 輸入您為節點設定的管理員憑證,然後按一下 登入。 |
2 |
轉至概觀(預設頁面)。 ![]() 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除虛擬機器。(在左側導覽窗格中,以滑鼠右鍵按一下虛擬機,然後按 刪除。) 如果不刪除虛擬機,請記得卸載配置 ISO 檔案。如果沒有 ISO 文件,您就無法使用 VM 存取您的安全資料。 |
使用備用資料中心進行災難復原
混合資料安全叢集提供的最關鍵服務是建立和儲存用於加密儲存在 Webex 雲端中的消息和其他內容的金鑰。對於組織內分配到混合資料安全的每個用戶,新的金鑰建立請求都會被路由到叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。混合資料安全資料庫或用於架構的配置 ISO 的遺失將導致客戶內容無法復原的遺失。若要防止此類流失,必須執行下列作法:
如果災難導致主資料中心的 HDS 部署不可用,請依照此程序手動故障轉移到備用資料中心。
在開始之前
1 |
啟動 HDS 安裝工具並依照 為 HDS 主機建立設定 ISO中提到的步驟進行操作。 |
2 |
完成配置過程並將 ISO 檔案保存在易於找到的位置。 |
3 |
在本機系統上製作 ISO 檔案的備份副本。確保備份副本的安全。此檔案包含用於資料庫內容的主要加密金鑰。僅限制那些應該進行配置更改的混合資料安全管理員的存取權限。 |
4 |
在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定。 |
5 |
點選 編輯設定 >CD/DVD 驅動器 1 並選擇資料儲存 ISO 檔案。 確保選取 已連線 和 開機時連接 ,以便更新的設定變更可以在啟動節點後生效。 |
6 |
開啟 HDS 節點電源,確保至少 15 分鐘內沒有警報。 |
7 |
在合作夥伴中心註冊節點。請參閱 註冊叢集中的第一個節點。 |
8 |
對備用資料中心中的每個節點重複此程序。 |
下一步
(可選)HDS 配置後卸載 ISO
標準 HDS 配置在安裝 ISO 的情況下運作。但是,有些客戶不喜歡持續安裝 ISO 檔案。所有 HDS 節點都採用新配置後,您可以解除安裝 ISO 檔案。
您仍然可以使用 ISO 檔案來進行配置變更。當您透過安裝工具建立新的 ISO 或更新 ISO 時,您必須在所有 HDS 節點上安裝更新的 ISO。一旦所有節點都獲取了配置更改,您就可以按照此程序再次卸載 ISO。
在開始之前
將所有 HDS 節點升級到版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選擇 HDS 節點。 |
3 |
選擇 資料儲存 ISO 檔案。 並取消選取 |
4 |
打開 HDS 節點電源並確保至少 20 分鐘內沒有警報。 |
5 |
依序對每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法訪問,或者叢集運行速度太慢導致請求逾時,則混合資料安全部署被視為不可用。如果用戶無法存取您的混合資料安全集群,他們會遇到以下症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
重要的是您要正確監控混合資料安全叢集並及時處理任何警報以避免服務中斷。
警示
如果混合資料安全設定存在問題,合作夥伴中心會向組織管理員顯示警報,並向配置的電子郵件地址發送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以依照 外部連線要求中指定的方式存取 Webex 伺服器。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
在合作夥伴中心啟動 HDS。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
已新增組織的租戶組織設定尚未完成 |
使用 HDS 設定工具為新新增的租戶組織建立 CMK 來完成設定。 |
已移除組織的租戶組織設定尚未完成 |
透過撤銷使用 HDS 設定工具刪除的租戶組織的 CMK 來完成設定。 |
混合資料安全性疑難排解
1 |
檢查合作夥伴中心是否有任何警報並修復您在那裡發現的任何項目。請參閱下圖以供參考。 |
2 |
查看系統日誌伺服器輸出以了解混合資料安全部署的活動。過濾“警告”和“錯誤”等詞語以幫助排除故障。 |
3 |
聯絡 Cisco 技術支援。 |
其他說明
混合資料安全性的已知問題
-
如果您關閉混合資料安全叢集(透過在合作夥伴中心將其刪除或關閉所有節點)、遺失配置 ISO 檔案或失去對金鑰庫資料庫的存取權限,則客戶組織的 Webex App 使用者將無法再使用其人員清單下使用您的 KMS 中的金鑰所建立的空間。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。
使用 Podman Desktop 運行 HDS 設定工具
Podman 是一個免費的開源容器管理工具,它提供了運行、管理和建立容器的方法。Podman Desktop 可以從 https://podman-desktop.io/downloads下載。
-
「HDS 設定工具」在本端機器上作為 Docker 儲存器執行。要存取它,請在該機器上下載並執行 Podman。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的代理程式後面執行,請在步驟 5 啟動 Docker 容器時透過 Docker 環境變數提供代理設定(伺服器、連接埠、憑證)。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
您產生的設定 ISO 檔案包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主金鑰。無論何時進行配置更改,您都需要此文件的最新副本,例如:
-
資料庫憑證
-
證書更新
-
授權政策變更
-
-
如果您計劃加密資料庫連接,請為 TLS 設定 PostgreSQL 或 SQL Server 部署。
混合資料安全設定過程會建立一個 ISO 檔案。然後使用 ISO 配置混合資料安全主機。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 |
2 |
若要登入 Docker 映像登錄,請輸入下列項目: |
3 |
在密碼提示中,輸入此雜湊: |
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: |
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 |
下一步
將 Control Hub 中合作夥伴組織的現有單租戶 HDS 部署移至 Partner Hub 中的多租戶 HDS 設置
從 Control Hub 管理的合作夥伴組織的現有單一租戶 HDS 部署轉換為 Partner Hub 中管理的多租戶 HDS 部署主要涉及停用 Control Hub 中的 HDS 服務、取消註冊節點和刪除叢集。然後,您可以登入合作夥伴中心,註冊節點,啟動多租戶 HDS 並將客戶新增至您的叢集。
術語「單一租戶」僅指控制中心中現有的 HDS 部署。
在 Control Hub 中停用 HDS、取消註冊節點並刪除集群
1 |
登入控制中心。在左側窗格中,按一下 混合。在混合資料安全卡上,按一下 編輯設定。 |
2 |
在設定頁面上,向下捲動至停用部分,然後按一下 停用。 |
3 |
停用後,點選 資源 標籤。 |
4 |
資源 頁面列出了您的 HDS 部署中的叢集。點擊一個集群,將打開一個頁面,其中包含該集群下的所有節點。 |
5 |
點選右側的 … ,然後點選 登出節點。對叢集中的所有節點重複此過程。 |
6 |
如果您的部署有多個集群,請重複步驟 4 和步驟 5,直到所有節點都取消註冊。 |
7 |
點擊 集群設置 > 消除。 |
8 |
按一下 確認刪除 以取消註冊該叢集。 |
9 |
對 HDS 部署中的所有叢集重複此程序。 HDS 停用、節點登出和叢集刪除後,Control Hub 上的混合資料服務卡底部將顯示 設定未完成 。 |
在合作夥伴中心為合作夥伴組織啟動多租戶 HDS 並新增客戶
1 |
登入合作夥伴中心。按一下左側窗格中的 服務 。 使用先前 HDS 部署中的相同 ISO 來配置節點。這將確保先前現有的 HDS 部署中的使用者產生的訊息和內容在新的多租戶設定中仍然可以存取。 |
2 |
在雲端服務部分,找到混合資料安全卡,點選 設定。 |
3 |
在開啟的頁面中,點選 新增資源。 |
4 |
在 新增節點 卡的第一個欄位中,輸入要將混合資料安全節點指派到的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。例如:“舊金山”或“紐約”或“達拉斯” |
5 |
在第二個欄位中,輸入您的節點的內部 IP 位址或完全限定網域名稱 (FQDN),然後按一下螢幕底部的 新增 。 此 IP 位址或 FQDN 應與您在 設定混合資料安全 VM中使用的 IP 位址或主機名稱和網域相符。 出現一則訊息,表示您可以將您的節點註冊到 Webex。
|
6 |
按一下移至節點。 片刻之後,您將被重新導向到 Webex 服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在此處,您確認您想要授予您的 Webex 組織存取您的節點的權限。 |
7 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,「註冊完成」訊息表示您的節點現已註冊到 Webex 雲端。在 混合資料安全性 頁面上,包含您註冊的節點的新叢集顯示在 資源 標籤下。該節點將自動從雲端下載最新的軟體。
|
8 |
前往 設定 選項卡,然後按一下HDS狀態卡上的 啟動 。 已啟動 HDS 訊息將顯示在螢幕底部。
|
9 |
在 資源中,點選新建立的叢集。 |
10 |
在開啟的頁面上,點選 已指派的客戶 標籤。 |
11 |
點選 新增客戶。 |
12 |
從下拉式選單中選擇您想要新增的客戶。 |
13 |
點擊 新增,客戶將被加入到集群中。 |
14 |
重複步驟 11 至 13,將多個客戶新增至您的叢集。 |
15 |
新增客戶後,點擊螢幕底部的 完成 。 |
下一步
使用 OpenSSL 來產生 PKCS12 檔
在開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您確實選擇使用 OpenSSL,我們將提供此流程作為指南,以協助您建立符合 X.509 憑證要求中的 X.509 憑證要求的檔案。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您從 CA 收到伺服器憑證時,請將其儲存為 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器建立名為
|
4 |
創建 。 p12 文件,其友善名稱為
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回 完成混合資料安全的先決條件。您將在 為 HDS 主機建立設定 ISO中使用 hdsnode.p12
檔案以及為其設定的密碼。
當原始證書到期時,您可以重新使用這些文件來申請新的證書。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全節點將某些指標傳送到 Webex 雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
混合資料安全節點從 Webex 雲端接收以下類型的入站流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid 代理程式可能會幹擾混合資料安全所需的 websocket (wss:
) 連線的建立。這些部分提供了有關如何配置各種版本的 Squid 來忽略 wss:
流量以確保服務正常運作的指導。
Squid 4 和 5
將 on_unsupported_protocol
指令加入 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們透過將以下規則新增至 squid.conf
成功測試了混合資料安全性。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all