Hybrid Data Security の要件
Cisco Webex ライセンスの要件
Hybrid Data Security を導入するには、次の要件を満たしている必要があります。
-
Pro Pack for Cisco Webex Control Hub を使用していること。(Https://www.cisco.com/go/pro-pack を参照してください)。
X.509 証明書の要件
証明書チェーンは、次の要件を満たしている必要があります。
要件 |
詳細 |
---|---|
|
デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs の Mozilla リストに含まれている CA が信頼されます(ただし、WoSign と StartCom を除く)。 |
|
CN は到達可能である必要も、ライブホストである必要もありません。組織を反映した名前(たとえば、 CN に *(ワイルドカード)を含めることはできません。 CN は、 Hybrid Data Securityノードを Cisco Webex Teams クライアントに対して確認するために使用されます。クラスタ内の Hybrid Data Security ノードすべてが同じ証明書を使用します。KMS は、[x.509v3 SAN] フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。 この証明書を使用してノードを登録した後に、CN ドメイン名を変更することはできません。トライアルと実稼働の両方の導入環境に適用できるドメインを選択してください。 |
|
KMS ソフトウェアでは、SHA1 シグニチャを使用して他の組織の KMS への接続を検証することはできません。 |
|
OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行するときに、パスワードを入力する必要があります。 |
KMS ソフトウェアは、キーの使用または拡張キーの使用に関する制約を適用しません。一部の認証局では、サーバ認証などで拡張キーの使用に関する制約を各証明書に適用することを要件としています。サーバ認証またはその他の設定を使用してもかまいません。
仮想ホストの要件
クラスタ内で Hybrid Data Security ノードとしてセットアップする仮想ホストには、次の要件があります。
-
同じセキュアデータセンター内に少なくとも 2 つの個別のホスト(推奨は 3 つ、最大 5 つ)が配置されていること
-
VMware ESXi 5.5(またはそれ以降)がインストールされて実行中になっていること
-
サーバごとに少なくとも 4 つの vCPU、8 GB のメインメモリ、20 GB のローカルハードディスク容量があること
データベースサーバの要件
データベースサーバには 2 つのオプションがあります。それぞれの要件は次のとおりです。
PostgreSQL |
Microsoft SQL Server |
---|---|
|
|
少なくとも 8 個の vCPU と 16 GB のメインメモリが搭載され、十分なハードディスク容量があること。また、ディスク容量を超えないよう、モニタリングすること(ストレージを増やすことなくデータベースを長期間実行したい場合は、2 TB が推奨されます)。 |
少なくとも 8 個の vCPU と 16 GB のメインメモリが搭載され、十分なハードディスク容量があること。また、ディスク容量を超えないよう、モニタリングすること(ストレージを増やすことなくデータベースを長期間実行したい場合は、2 TB が推奨されます)。 |
現在、HDS ソフトウェアはデータベースサーバとの通信用に次のドライババージョンをインストールします。
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC ドライバ 42.2.5 |
SQL Server JDBC ドライバ 4.6 このドライババージョンでは、SQL Server Always On(Always On フェールオーバークラスタ インスタンスと Always ON 可用性グループ)がサポートされています。 |
Hybrid Data Security ノードの外部接続要件
ファイアウォールが、 Hybrid Data Security ノードに対して次の接続が許可されるように構成されている必要があります。
プロトコル |
ポート |
方向(Hybrid Data Security ノードから) |
接続先 |
---|---|---|---|
TCP |
443 |
アウトバウンド HTTPS および WSS |
|
(注) |
上記の表にリストされているドメイン宛先へのアウトバウンド接続が NAT またはファイアウォールで許可されている限り、Hybrid Data Security ノードはネットワークアクセス変換(NAT)と連動するか、ファイアウォールの背後に配置されます。Hybrid Data Security ノードへのインバウンド接続の場合、インターネットから可視になるポートはありません。データセンター内でクライアントが管理目的で Hybrid Data Security ノードにアクセスするには、TCP ポート 443 および 22 を使用する必要があります。 |
ローカル構成マシンの外部接続要件
HDS セットアップツールをインストールして実行するには、ローカルマシンが次の接続要件を満たしている必要があります。
プロトコル |
ポート |
方向(ローカルマシンから) |
宛先 |
---|---|---|---|
TCP |
443 |
アウトバウンド HTTPS |
Cisco Webex サーバ:
hub.docker.com |
プロキシサーバの要件
-
Hybrid Data Security ノードに統合できるプロキシソリューションとして公式にサポートされているのは、次のプロキシです。
-
透過的なプロキシ:Cisco Web セキュリティ アプライアンス(WSA)
-
明示的なプロキシ:Squid
(注)
HTTPS トラフィックを検査する Squid プロキシは、WebSocket(wss)の接続確立に干渉する可能性があります。この問題を回避するには、Hybrid Data Security の Squid プロキシの構成を参照してください。
-
-
明示的なプロキシでは、次の認証タイプの組み合わせがサポートされています。
-
HTTP または HTTPS を使用した認証なし
-
HTTP または HTTPS を使用した基本認証
-
HTTPS のみを使用したダイジェスト認証
-
-
透過的な検査プロキシまたは明示的な HTTPS プロキシの場合、プロキシのルート証明書のコピーが必要です。このガイドの導入手順で、Hybrid Data Security ノードの信頼ストアにコピーをアップロードする方法を説明しています。
-
HDS ノードをホストするネットワークは、ポート 443 でアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように構成されている必要があります。
-
Web トラフィックを検査するプロキシは、WebSocket 接続に干渉する可能性があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする(検査しない)と、問題が解決します。