HDS 導入環境の管理
ハイブリッド データ セキュリティ 導入を管理するには、ここで説明するタスクを使用します。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ハイブリッド データ セキュリティ 導入を管理するには、ここで説明するタスクを使用します。
アップグレードスケジュールを設定するには、次の手順に従います。
ステップ 1 |
Control Hub にログインします。 |
ステップ 2 |
概要ページの [ハイブリッドサービス(Hybrid Services)] で、[Hybrid Data Security] を選択します。 |
ステップ 3 |
[Hybrid Data Security リソース(ハイブリッド データ セキュリティ Resources)] ページで、クラスタを選択します。 |
ステップ 4 |
右側の [概要(Overview)] パネルの [クラスタ設定(Cluster Settings)] で、クラスタ名を選択します。 |
ステップ 5 |
[設定(Settings)] ページの [アップグレード(Upgrade)] で、アップグレード スケジュールの時間とタイムゾーンを選択します。 注:選択したタイムゾーンで次に使用可能なアップグレードの日時が表示されます。必要に応じて、[延期(Postpone)] をクリックして、アップグレードを翌日に延期できます。 |
有効期限切れなどの理由により、x.509 証明書を変更する場合。
(注) |
証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスタの登録に使用された元のドメインと一致している必要があります。 |
データベース設定の更新により PostgreSQL または Microsoft SQL Server データベースのレプリカが変更される場合。
(注) |
PostgreSQL から Microsoft SQL Server へのデータの移行、またはその逆の移行はサポートされていません。データベース環境を切り替えるには、Hybrid Data Security の新しい導入環境を起動する必要があります。 |
新しいデータ センターを準備するために新しい構成を作成する場合。
また、セキュリティ上の理由から、ハイブリッド データ セキュリティ は、有効期間が 9 ヶ月に設定されたサービス アカウント パスワードを使用します。HDS セットアップ ツールによってこれらのパスワードが生成されたら、ISO コンフィギュレーション ファイルに含まれる各 HDS ノードにパスワードを導入します。組織のパスワードの有効期限が近づくと、お使いのマシン アカウントのパスワードをリセットするよう求める通知が Webex チームから通知が送られます。(この電子メールには、「マシン アカウント API を使用してパスワードを更新してください(Use the machine account API to update the password)」というテキストが含まれています)。パスワードの有効期限がまだ切れていない場合は、次の 2 つのオプションが提示されます。
ソフト リセット:古いパスワードと新しいパスワードの両方を最大 10 日間使用できます。この期間を利用して、ノード上の ISO ファイルを順次置き換えることができます。
ハード リセット:古いパスワードはただちに使用できなくなります。
パスワードをリセットしないまま期限切れになると HDS サービスが影響を受けます。この場合、即座にハード リセットを実行し、すべてのノード上の ISO ファイルを置き換える必要があります。
新しい構成 ISO ファイルを生成してクラスタに適用するには、次の手順を使用します。
HDS セットアップ ツールは、ローカル マシン上の Docker コンテナとして実行されます。ツールにアクセスするには、そのマシン上で Docker を実行します。このセットアップ プロセスでは、組織の完全な管理者権限を持つ Control Hub アカウントのクレデンシャルが必要です。
HDSセットアップツールが環境内のプロキシの背後で実行されている場合は、Dockerコンテナを起動するときにDocker環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を指定します。1.e次の表に、考えられる環境変数を示します。
説明 |
変数 |
---|---|
認証なしのHTTPプロキシ |
|
認証なしのHTTPSプロキシ |
|
認証を使用した HTTP プロキシ |
|
認証付きHTTPSプロキシ |
|
新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。この ISO には、PostgreSQL または Microsoft SQL Server のデータベースを暗号化するマスター キーが格納されます。データベースのクレデンシャルの変更、証明書の更新、認証ポリシーの変更を含め、構成を変更するときは必ず、この ISO が必要になります。
ステップ 1 |
ローカル マシン上の Docker を使用して、HDS セットアップ ツールを実行します。 |
ステップ 2 |
実行中の HDS ノードが 1 つしかない場合は、新しい ハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使ってそれを登録します。詳細な手順については、「追加ノードの作成と登録」を参照してください。
|
ステップ 3 |
古いコンフィギュレーション ファイルを実行している既存の HDS ノードの場合は、ISO ファイルをマウントします。次の手順を各ノードで順番に実行し、次のノードの電源をオフにする前に各ノードを更新します。
|
ステップ 4 |
古い構成ファイルを実行している残りのノードごとに、ステップ 3 を繰り返して構成を置き換えます。 |
ノードを登録するか、ノードのプロキシ設定を確認すると、プロセスは、Cisco Webex クラウド への DNS ルックアップと接続をテストします。ノードの DNS サーバがパブリック DNS 名を解決できない場合、ノードはブロックされた外部 DNS 解決モードに自動的に進みます。
ノードが内部 DNS サーバを介してパブリック DNS 名を解決できる場合は、各ノードでプロキシ接続テストを再実行することによって、このモードをオフにすることができます。
ステップ 1 |
Web ブラウザで、Hybrid Data Security ノード インターフェイス(たとえば https://192.0.2.0/setup などの IP address/setup)を開き、ノード用にセットアップした管理者の資格情報を入力し、[サインイン(Sign In)] をクリックします。 |
ステップ 2 |
[概要(Overview)](デフォルトのページ)に移動します。 有効にすると、[ブロックされた外部DNS解決(Blocked External DNS Resolution)]が [はい(Yes)] に設定されます。 |
ステップ 3 |
[信頼ストアおよびプロキシ(Trust Store & Proxy)] ページに移動します。 |
ステップ 4 |
[プロキシ接続の確認(Check Proxy Connection)] をクリックします。 外部 DNS 解決が成功しなかったというメッセージが表示された場合、ノードは DNS サーバにアクセスできなかったため、ノードはこのモードのままになります。それ以外の場合は、ノードを再起動して、[概要(Overview)] ページに戻ってから、[ブロックされた外部DNS解決(Blocked External DNS Resolution)] を [いいえ (No)] に設定する必要があります。 |
ステップ 1 |
ローカルマシン上の VMware vSphere クライアントを使用して ESXi 仮想ホストにログインし、仮想マシンの電源をオフにします。 |
ステップ 2 |
次のようにしてノードを削除します。
|
ステップ 3 |
VSphere クライアントで、VM を削除します。(左側のナビゲーションウィンドウで、VM を右クリックし、[削除(Delete)] をクリックします)。 VM を削除しない場合は、ISO コンフィギュレーション ファイルをマウント解除するのを忘れないでください。ISO ファイルがなければ、VM を使用してセキュリティ データにアクセスすることはできません。 |
ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されるメッセージやその他のコンテンツを暗号化するために使用するキーの作成と保管です。ハイブリッド データ セキュリティ に割り当てられる組織内の各ユーザについて、新しいキーの作成要求がクラスタにルーティングされます。クラスタはまた、キーの取得が許可されたユーザ(たとえば、会話スペースのメンバー)に、作成したキーを返す役割も担います。
クラスタはこれらのキーを提供するという重要な役割を果たすため、クラスタが稼働中の状態を維持すること、および適切なバックアップが維持されることが不可欠です。ハイブリッド データ セキュリティ データベースが失われたり、スキーマに使用されている構成 ISO が失われたりすると、顧客のコンテンツが回復不能になります。このような損失を防ぐには、次の慣例が必須となります。
構成 ISO ファイルをバックアップし、クラスタとは異なるデータ センターにバックアップを保存します。
PostgreSQL または Microsoft SQL Server データベースのバックアップを継続的に作成し、別のデータセンターに保管します。
VM の実稼働環境とバックアップ PostgreSQL または Microsoft SQL Server データベースをミラーリングするバックアップデータセンターを保守します。たとえば、実稼働環境に HDS ノードを実行する 3 つの VM がある場合、バックアップ環境にも 3 つの VM が必要です。(このフェールオーバーモデルの概要については、「ディザスタ リカバリのためのスタンバイ データ センター」を参照してください)。
障害によってプライマリデータセンターの HDS 導入環境が使用できなくなった場合は、次の手順に従って手動でスタンバイ データ センターにフェールオーバーします。
ステップ 1 |
Control Hub から、元のデータ センターの HDS ノードを削除します。(この手順で、これらのノードを登録解除します)。「ノードの削除」を参照してください。 |
ステップ 2 |
スタンバイ データ センターの PostgreSQL または Microsoft SQL サーバデータベースをアクティブ(プライマリまたはマスター)データベースにします。元のデータベースが使用可能な場合は、パッシブ(スタンバイ)データベースにします。 |
ステップ 3 |
スタンバイデータセンターのデータベースログイン情報が元のログイン情報と異なる場合は、HDS セットアップツールを実行し、元のファイルを使用して新しい構成ファイルを作成します。「ノード構成の変更」を参照してください。 |
ステップ 4 |
スタンバイ データ センターのバックアップ VM を使用して、各 VM に ISO ファイルをマウントし、ノードを登録して新しいクラスタ内に ハイブリッド データ セキュリティ ノードを作成します。 この手順は、初めてノードをインストールする場合とほぼ同じですが、ノードがまだ登録されていて、サービスを非アクティブ化していない限り、トライアル フェーズはありません。 |
ステップ 5 |
できるだけ早く、ISO 構成ファイルのバックアップ コピーを安全な場所に保存し、データベースを起動して新しいアクティブ データベースのスタンバイとして実行するようにしてください。 |
標準の HDS 設定は、ISO をマウントして実行されます。ただし、ISO ファイルをマウントしたままにしないことを希望するお客様もいます。すべての HDS ノードが新しい設定を取得した後、ISO ファイルをマウント解除できます。
引き続き ISO ファイルを使用して設定を変更します。新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、すべての HDS ノードに更新された ISO をマウントする必要があります。すべてのノードが設定変更を取得したら、この手順で ISO を再度マウント解除できます。
すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。
ステップ 1 |
HDS ノードの 1 つをシャットダウンします。 |
ステップ 2 |
vCenter Server Appliance で、HDS ノードを選択します。 |
ステップ 3 |
[Datastore ISO File] をオフにします。 を選択し、 |
ステップ 4 |
HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。 |
ステップ 5 |
各 HD ノードに対して順番に繰り返します。 |