Hybrid Data Security の要件
Cisco Webex ライセンスの要件
Hybrid Data Security を導入するには、次の要件を満たしている必要があります。
-
Pro Pack for Cisco Webex Control Hub を使用していること(https://www.cisco.com/go/pro-pack を参照してください)。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、Mozilla リスト(https://wiki.mozilla.org/CA:IncludedCAs)内の CA(WoSign と StartCom を除く)を信頼します。 |
|
この CN は、到達可能またはライブ ホストである必要はありません。組織を反映する名前( CN に *(ワイルドカード)を含めることはできません。 CN は、Hybrid Data Securityノードを Cisco Webex Teams クライアントに対して確認するために使用されます。クラスタ内の Hybrid Data Security ノードすべてが同じ証明書を使用します。KMS は、x.509v3 SAN フィールドで定義されるドメインではなく、この CN ドメインを使用して自身を識別します。 この証明書を持つノードを登録すると、CN ドメイン名の変更はサポートされなくなります。トライアルと実稼働の両方の導入環境に適用できるドメインを選択してください。 |
|
KMS ソフトウェアは、他の組織の KMS への接続を検証する場合に SHA1 シグニチャをサポートしません。 |
|
証明書の形式は、OpenSSL などのコンバーターを使用して変更できます。 HDS セットアップ ツールを実行するときは、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キー使用法または拡張キー使用法の制約を適用しません。一部の認証局は、各証明書(サーバ認証など)に対して拡張キー使用法の制約を適用することを要求します。サーバ認証やその他の設定を使用しても問題ありません。
仮想ホストの要件
クラスタ内で Hybrid Data Security ノードとしてセットアップする仮想ホストには、次の要件があります。
-
同じセキュアなデータ センターに配置された最小 2 個(推奨 3 個、最大 5 個)の独立したホスト
-
VMware ESXi 6.5 以降がインストールされ、実行されていること
重要
それ以前のバージョンの ESXi を使用している場合は、アップグレードする必要があります。
-
サーバごとに少なくとも 4 つの vCPU、8 GB のメイン メモリ、20 GB のローカル ハードディスク容量があること
データベース サーバの要件
データベース サーバには 2 つのオプションがあります。それぞれの要件は、次のとおりです。
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
最小 8 個の vCPU、16 GB のメイン メモリ、十分なハード ディスク容量とこの容量を超えていないことを確認するためのモニタリング(記憶域を増やすことなく長期間データベースを実行したい場合は、2 TB を推奨) |
最小 8 個の vCPU、16 GB のメイン メモリ、十分なハード ディスク容量とこの容量を超えていないことを確認するためのモニタリング(記憶域を増やすことなく長期間データベースを実行したい場合は、2 TB を推奨) |
現在、HDS ソフトウェアはデータベース サーバとの通信用に次のドライバ バージョンをインストールします。
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ドライバ 42.2.5 |
SQL Server JDBC ドライバ 4.6 このドライバ バージョンでは、SQL Server Always On(Always On フェールオーバー クラスタ インスタンスと Always ON 可用性グループ)がサポートされています。 |
外部接続の要件
HDS アプリケーション用に次の接続を許可するように、ファイアウォールを設定します。
Application |
プロトコル |
ポート |
アプリケーションからの方向 |
宛先 |
---|---|---|---|---|
Hybrid Data Security ノード |
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
HDS セットアップ ツール |
TCP |
443 |
アウトバウンド HTTPS |
|
(注) |
上記の表にリストされているドメイン宛先へのアウトバウンド接続が NAT またはファイアウォールで許可されている限り、Hybrid Data Security ノードはネットワーク アクセス変換(NAT)と連動するか、ファイアウォールの背後に配置されます。Hybrid Data Security ノードへのインバウンド接続の場合、インターネットから可視になるポートはありません。データ センター内でクライアントが管理目的で Hybrid Data Security ノードにアクセスするには、TCP ポート 443 および 22 を使用する必要があります。 |
共通アイデンティティ(CI)ホストの URL は、リージョン固有のものです。現在の CI ホストは次のとおりです。
リージョン |
共通アイデンティティ ホストの URL |
---|---|
アメリカ地域 |
|
欧州連合 |
|
プロキシ サーバの要件
-
Hybrid Data Security ノードに統合できるプロキシ ソリューションとして公式にサポートされているのは、次のプロキシです。
-
透過的なプロキシ:Cisco Web セキュリティ アプライアンス(WSA)
-
明示的なプロキシ:Squid
(注)
HTTPS トラフィックを検査する Squid プロキシは、WebSocket(wss)の接続確立に干渉する可能性があります。この問題を回避するには、「Hybrid Data Security の Squid プロキシの構成」を参照してください。
-
-
明示的なプロキシでは、次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS を使用した認証なし
-
HTTP または HTTPS を使用した基本認証
-
HTTPS のみを使用したダイジェスト認証
-
-
透過的な検査プロキシまたは明示的な HTTPS プロキシの場合、プロキシのルート証明書のコピーが必要です。このガイドの導入手順で、Hybrid Data Security ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 でアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように構成されている必要があります。
-
Web トラフィックを検査するプロキシは、WebSocket 接続に干渉する可能性があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする(検査しない)と、問題が解決します。