تثبيت السحابة الخاصة الظاهرية لنقطة النهاية الآمنة وتكوينها

المقدمة

يصف هذا المستند كيفية نشر Virtual Private Cloud (VPC) على الخوادم في بيئة ESXi بنجاح ويركز على كيفية ذلك. بالنسبة للوثائق الأخرى مثل دليل البدء السريع واستراتيجية النشر ودليل الاستحقاق ووحدة التحكم ودليل المستخدم للمسؤول، يرجى زيارة وثائق هذا الموقع

تمت المساهمة بواسطة رومان فالنتا، مهندسو TAC من Cisco.

المتطلبات الأساسية

المتطلبات:

برنامج VMware ESX 5 أو إصدار أحدث

• وضع وكيل الشبكة (فقط): ذاكرة وصول عشوائي سعة 128 جيجابايت و 8 مراكز لوحدة المعالجة المركزية (وحدتا معالجة مركزية (CPU مع 4 مراكز موصى بها لكل منهما)، فضلا عن مساحة قرص حرة تبلغ 1 تيرابايت كحد أدنى في مخزن بيانات VMware
• نوع محركات الأقراص: محركات أقراص مزودة بذاكرة مصنوعة من مكونات صلبة (SSD) مطلوبة لوضع الثغرات الهوائية وموصى بها للوكيل
• نوع RAID: مجموعة RAID 10 واحدة (مرآة مخططة)
• الحد الأدنى لحجم مخزن بيانات VMware: 2 تيرابايت
• الحد الأدنى للقراءات العشوائية لمخططات البيانات لمجموعة RAID 10 (4 كيلو): 60 كيلو عملية إدخال وإخراج في الثانية (IOPS)
• الحد الأدنى لكتابة Datastore Random لمجموعة RAID 10 (4K): 30 ألف عملية إدخال وإخراج في الثانية (IOPS)

cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:

• معرفة أساسية بكيفية التعامل مع الشهادات.
• معرفة أساسية بكيفية إعداد DNS ضمن خادم DNS (Windows أو Linux)
• تثبيت قالب جهاز ظاهري مفتوح (OVA) في VMWare ESXi

مستخدم في هذا المختبر:

برنامج ESX 6.5 من VMware

• وضع وكيل الشبكة (فقط): ذاكرة وصول عشوائي سعة 48 جيجابايت و 8 مراكز لوحدة المعالجة المركزية (وحدتا معالجة مركزية (CPU مع 4 مراكز موصى بها لكل منهما)، بالإضافة إلى مساحة حرة على القرص تبلغ 1 تيرابايت كحد أدنى في مركز بيانات VMware
• نوع محركات الأقراص: SATA
• نوع تقنية RAID: تقنية RAID 1 واحدة
• الحد الأدنى لحجم مجمع بيانات VMware: 1 تيرابايت
• MobaXterm 20.2 (برنامج متعدد المحطات مماثل ل PuTTY)
• Cygwin64 (يستخدم لتنزيل تحديث AirGap)

بالإضافة إلى

• الشهادة التي قمت بإنشائها باستخدام OpenSSL أو XCA
• خادم DNS (Linux أو Windows) في مختبري أستخدمت نظام التشغيل Windows Server 2016 و CentOS-8
• Windows VM لنقطة نهاية الاختبار الخاصة بنا
• الترخيص

إذا كانت الذاكرة عبارة عن ذاكرة وصول عشوائي (RAM) سعة 48 جيجابايت منخفضة على الإصدار 3.2+ VPC تصبح غير قابلة للاستخدام.

ملاحظة: تقوم Private Cloud OVA بإنشاء أقسام محرك الأقراص لذلك لا حاجة لتعيينها في VMWare. الخادم الذي يقوم بتحديد اسم مضيف الواجهة النظيفة. أفقن

ارجع إلى صفحة بيانات جهاز VPC للحصول على مزيد من المعلومات حول متطلبات الأجهزة الخاصة بالإصدار.

ملاحظة: تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر. أفقن

نشر VPC

حدد عنوان URL المتوفر في البريد الإلكتروني للتسليم أو رسالة الاستحقاق. تنزيل ملف OVA ومتابعة التثبيت

تركيب الجهاز الظاهري

الخطوة 1:

انتقل إلى ملف > نشر قالب OVF لفتح معالج نشر قالب OVF، كما هو موضح في الصورة.

ملاحظة: يحتفظ الإعداد السميك بمساحة عند إنشاء قرص. إذا قمت بتحديد هذا الخيار، فيمكنه تحسين الأداء أكثر من رفيع المزود. ومع ذلك، فإن ذلك ليس إلزاميا. الآن حدد على التالي، كما هو موضح في الصورة.

الخطوة 2:

حدد إستعراض.. لتحديد ملف OVA، ثم حدد على التالي. يمكنك ملاحظة معلمات OVA الافتراضية في صفحة تفاصيل قالب OVF، كما هو موضح في الصورة. حدد في التالي.

إعداد واجهة المسؤول الأولية

بمجرد تمهيد الأجهزة الافتراضية (VM)، يمكنك إجراء التكوين الأولي من خلال وحدة التحكم في الأجهزة الافتراضية (VM).

الخطوة 1:

قد تلاحظ أن عنوان URL يظهر [غير مكون] إذا لم تتلق الواجهة عنوان IP من خادم DHCP. الرجاء ملاحظة أن هذه الواجهة هي واجهة الإدارة. هذه ليست واجهة الإنتاج.

الخطوة 2:

يمكنك التنقل خلال مفاتيح Tab وEnter والأسهم.

انتقل إلى config_network وحدد مفتاح enter على لوحة المفاتيح لبدء تكوين عنوان IP الخاص بإدارة السحابة الخاصة لنقطة النهاية الآمنة. إذا كنت لا تريد إستخدام DHCP، فحدد لا وحدد مفتاح إدخال.

في النافذة التي تظهر، أختر نعم وحدد إدخال مفتاح.

إذا كان IP قيد الاستخدام بالفعل، فسيتم التعامل معك مع سجل الأخطاء هذا. ببساطة عد واختر شيئا فريدا وليس قيد الاستخدام.

إذا سار كل شيء على ما يرام، سترى مخرجات تبدو هكذا

الخطوة 3:

انتظر حتى تظهر الشاشة الزرقاء مرة أخرى مع IP الثابت الجديد لديك. الرجاء أيضا ملاحظة كلمة مرور المرة الواحدة. دون ملاحظة ودعونا نفتح المستعرض لدينا.

التكوين الأولي للكمبيوتر vPC عبر واجهة المستخدم الرسومية (GUI) عبر الويب

الخطوة 1:

افتح مستعرض ويب وانتقل إلى عنوان IP الخاص بإدارة الجهاز. يمكنك تلقي خطأ في الشهادة حيث تقوم سحابة Secure Endpoint Private بإنشاء شهادة HTTPS الخاصة بها مبدئيا، كما هو موضح في الصورة. قم بتكوين المستعرض ليثق في شهادة HTTPS الموقعة ذاتيا الخاصة بسحابة نقاط النهاية الآمنة.

في نوع المستعرض الخاص بك، IP الثابت الذي قمت بتكوينه مسبقا.

الخطوة 2:

بعد تسجيل الدخول، يجب عليك إعادة تعيين كلمة المرور. أستخدم كلمة المرور الأولية من وحدة التحكم في حقل كلمة المرور القديمة. أستخدم كلمة مرورك الجديدة في حقل كلمة المرور الجديدة. أعد إدخال كلمة المرور الجديدة في حقل كلمة المرور الجديدة. حدد على تغيير كلمة المرور.

الخطوة 3:

بعد تسجيل الدخول، يجب عليك إعادة تعيين كلمة المرور. أستخدم كلمة المرور الأولية من وحدة التحكم في حقل كلمة المرور القديمة. أستخدم كلمة مرورك الجديدة في حقل كلمة المرور الجديدة. أعد إدخال كلمة المرور الجديدة في حقل كلمة المرور الجديدة. حدد على تغيير كلمة المرور.

الخطوة 4:

في الصفحة التالية قم بالتمرير لأسفل إلى الأسفل لقبول إتفاقية الترخيص. حدد على الذي قمت بقراءته والموافقة عليه.

الخطوة 5:

بعد قبول الاتفاقية، تحصل على شاشة التثبيت كما هو موضح في الصورة. إذا كنت تريد الاستعادة من نسخة إحتياطية، يمكنك القيام بذلك هنا، ومع ذلك، يستمر هذا الدليل مع خيار التثبيت النظيف. حدد في البدء في قسم التثبيت النظيف.

الخطوة 6:

أول شيء تحتاجه هو رخصة للمضي قدما. تتلقى ترخيصا وعبارة مرور عند شراء المنتج. حدد على +ملف ترخيص التحميل. أختر ملف الترخيص وأدخل عبارة المرور. حدد على ترخيص التحميل. إذا لم ينجح التحميل، فالرجاء التحقق من صحة عبارة المرور. إذا نجح التحميل، يتم عرض شاشة تحتوي على معلومات ترخيص صالحة. تحديد في التالي. إذا لم تتمكن بعد من تثبيت الترخيص الخاص بك، فاتصل بدعم Cisco التقني.

 

 

 

الخطوة 7:

إنك تتلقى صفحة الترحيب، كما هو موضح في الصورة. تعرض هذه الصفحة المعلومات التي يجب أن تكون لديك قبل تكوين السحابة الخاصة. اقرأوا المتطلبات بانتباه. حدد في التالي لبدء تكوين التثبيت المسبق.

التكوين

الخطوة 1:

ملاحظة: نلحظ أنه في المجموعات التالية من الشريحة، ندرج بعض العناصر الحصرية كما هو موضح في الصورة والتي تنفرد فقط بوضع فجوة الهواء، والتي يتم إرفاقها ووضع علامة عليها على أنها فجوة الهواء فقط

 ︾ ︾ Airgap ︾ ︾ فقط

︽ ︽ Airgap ︽ ︽ فقط

الخطوة 2:

انتقل إلى صفحة حساب وحدة تحكم نقطة النهاية الآمنة. يتم إستخدام مستخدم إداري لوحدة التحكم لإنشاء السياسات ومجموعات الكمبيوتر وإضافة مستخدمين إضافيين. أدخل الاسم وعنوان البريد الإلكتروني وكلمة المرور لحساب وحدة التحكم. حدد في التالي.

 

إن يركض أنت إلى هذا إصدار عندما ينشر أنت من ال OVA مبرد بعد ذلك أنت تتلقى إثنان خيار إما، وتابعت وصححت هذا إصدار فيما بعد أو إيقاف عمل بعد ذلك in order to نشرت VM وطبقت وفقا لذلك. بعد إعادة التشغيل، استمر في المكان الذي غادرت فيه.

ملاحظة: تم إصلاح ذلك في ملف OVA للإصدار 3.5.2 الذي يتم تحميله بشكل صحيح مع ذاكرة وصول عشوائي سعة 128 جيجابايت ومراكز وحدة المعالجة المركزية (CPU) بسرعة 8.

ملاحظة: أستخدم القيم المستحسنة فقط إلا إذا كان ذلك لأغراض معملية

ما إن تم إعادة التشغيل حتى نتابع حيث غادرنا.

تأكد من تكوين ETH1 باستخدام IP الثابت أيضا.

ملاحظة: يجب ألا تقوم أبدا بتكوين جهازك لاستخدام DHCP ما لم تقم بإنشاء حجوزات عنوان MAC للواجهات. إذا تم تغيير عناوين IP الخاصة بواجهات الاتصال، فقد يؤدي ذلك إلى حدوث مشاكل خطيرة في موصلات نقطة النهاية الآمنة التي تم نشرها. إذا لم يتم تكوين خادم DNS، يمكنك إستخدام DNS العام المؤقت لإنهاء التثبيت.

الخطوة 3:

الخطوة 4:

يمكنك الحصول على صفحة التاريخ والوقت. أدخل عناوين خادم NTP واحد أو أكثر الذي تريد إستخدامه لمزامنة التاريخ والوقت. أنت يستطيع استعملت داخلي أو خارجي NTP نادل وعينت أكثر من واحد من خلال فاصلة أو فراغ قائمة ميلان إلى جانب. قم بمزامنة الوقت مع المستعرض أو قم بتشغيل AMP-CTL NTPDATE من وحدة تحكم الجهاز لفرض مزامنة فورية مع خوادم NTP. تحديد في التالي.

 ︾ ︾ Airgap ︾ ︾ فقط

︽ ︽ Airgap ︽ ︽ فقط

الخطوة 5:

تحصل على صفحة المراجع المصدقة، كما هو موضح في الصورة. حدد على إضافة مرجع شهادات لإضافة شهادتك الجذر.

الخطوة 6:

تتمثل الخطوة التالية في تكوين صفحة Cisco Cloud، كما هو موضح في الصورة. حدد منطقة سحابة Cisco المناسبة. قم بتوسيع عرض أسماء المضيف إذا كنت بحاجة إلى إنشاء إستثناءات جدار الحماية لجهاز السحابة الخاص بنقطة النهاية الآمنة لديك للاتصال بسحابة Cisco لإجراء عمليات البحث عن الملفات وتحديثات الأجهزة. حدد في التالي.

 

الخطوة 7:

انتقل إلى صفحة الإعلامات، كما هو موضح في الصورة. حدد التردد للإعلامات الهامة والمنتظمة. أدخل عناوين البريد الإلكتروني التي تريد تلقي إعلامات التنبيه لجهاز نقطة النهاية الآمنة. يمكنك إستخدام أسماء مستعارة للبريد الإلكتروني أو تحديد عناوين متعددة من خلال قائمة مفصولة بفاصلة. يمكنك أيضا تحديد اسم المرسل وعنوان البريد الإلكتروني المستخدم بواسطة الجهاز. هذه الإعلامات ليست نفس اشتراكات وحدة تحكم نقطة النهاية الآمنة. يمكنك أيضا تحديد اسم جهاز فريد إذا كان لديك العديد من أجهزة السحابة الخاصة لنقطة النهاية الآمنة. تحديد في التالي.

 

الخطوة 8:

بعد ذلك تقوم بالتنقل إلى صفحة مفاتيح SSH، كما هو موضح في الصورة. حدد على إضافة مفتاح SSH لإدخال أي مفاتيح عامة تريد إضافتها إلى الجهاز. تتيح لك مفاتيح SSH الوصول إلى الجهاز عبر طبقة بعيدة ذات امتيازات الجذر. يجب منح حق الوصول للمستخدمين الموثوق بهم فقط. يتطلب جهاز السحابة الخاص مفتاح RSA منسق ل OpenSSH. يمكنك إضافة المزيد من مفاتيح SSH لاحقا من خلال التكوين > SSH في مدخل الإدارة لديك. حدد في التالي.

 

ثم تحصل على قسم الخدمات. في الصفحات التالية، يجب تعيين أسماء المضيف وتحميل أزواج الشهادات والمفتاح المناسبة لخدمات الأجهزة هذه. في الشرائح القليلة التالية، يمكننا رؤية تهيئة إحدى الشهادات الست.

الخدمات

الخطوة 1:

أثناء عملية التكوين، قد يتم تشغيل هذه الأخطاء.

أول "خطأ" قد تلاحظه يتم إبرازه بالسهم الثلاثة. لتجاوز هذا ببساطة إلغاء تحديد تعطيل التحقق الصارم من TLS"

بدون فحص TLS صارم

الخطوة 2:

الخطأ التالي الذي تحصل عليه هو إذا تركت التحقق من صحة اسم DNS" محددا. هنا لديك خيارين.

#1: إما أن تقوم بإلغاء تحديد علامة التحقق من صحة DNS 

#2: ارجع إلى خادم DNS الخاص بك وقم بتكوين باقي سجلات المضيف الخاصة بك. 

الآن كرر نفس العملية خمس مرات أخرى لبقية الشهادات.

المصادقة

- يتم إستخدام خدمة المصادقة في الإصدارات المستقبلية من Private Cloud لمعالجة مصادقة المستخدم.

وحدة التحكم في نقطة النهاية الآمنة

- وحدة التحكم هي اسم DNS حيث يمكن لمسؤول نقطة النهاية الآمنة الوصول إلى وحدة تحكم نقطة النهاية الآمنة ويتلقى موصلات نقطة النهاية الآمنة سياسات وتحديثات جديدة.

 خادم المصير النهائي

- Disposition Server هو اسم DNS حيث تقوم موصلات نقطة النهاية الآمنة بإرسال معلومات البحث عن السحابة واستردادها.

خادم المصير النهائي - البروتوكول الموسع

- Disposition Server - البروتوكول الموسع هو اسم DNS حيث تقوم موصلات نقطة النهاية الآمنة الأحدث بإرسال معلومات البحث عن السحابة واستردادها.

خدمة تحديث المصير النهائي

- يتم إستخدام خدمة تحديث المصير النهائي عند ربط جهاز شبكة تهديدات الحماية من Cisco بجهاز الشبكة الخاص لديك. يتم إستخدام جهاز شبكة التهديدات لإرسال الملفات للتحليل من وحدة تحكم النقطة الطرفية الآمنة ويتم إستخدام خدمة تحديث المصير النهائي من قبل شبكة التهديدات لتحديث المصير النهائي (نظيف أو ضار) للملفات بعد تحليلها.

مركز إدارة Firepower

-يسمح لك الارتباط الخاص بمركز إدارة Firepower بربط جهاز مركز إدارة FirePOWER (FMC) من Cisco بجهاز الشبكة الخاص لديك. يتيح لك ذلك عرض بيانات نقطة النهاية الآمنة في لوحة معلومات FMC. لمزيد من المعلومات حول دمج FMC مع Secure Endpoint راجع وثائق FMC.

تحذير: لا يمكن تغيير أسماء المضيف بمجرد أن ينتهي الجهاز من التثبيت.

دون أسماء المضيف المطلوبة. يجب إنشاء ستة سجلات DNS A فريدة للسحابة الخاصة لنقطة النهاية الآمنة. يشير كل سجل إلى نفس عنوان IP الخاص بواجهة وحدة تحكم السحابة الخاصة الظاهرية (ETH1) ويجب حله من قبل كل من السحابة الخاصة ونقطة النهاية الآمنة.

الخطوة 3:

في الصفحة التالية، قم بتنزيل ملف الاسترداد ثم التحقق منه.

تحصل على صفحة الاسترداد، كما هو موضح في الصورة. يجب تنزيل نسخة إحتياطية من التكوين الخاص بك والتحقق من ذلك قبل بدء التثبيت. يحتوي ملف الاسترداد على جميع التكوين بالإضافة إلى مفاتيح الخادم. إذا فقدت ملف إسترداد، فلن تتمكن من إستعادة التكوين الخاص بك ويجب إعادة تثبيت جميع موصلات نقطة النهاية الآمنة. بدون مفتاح أصلي، يجب إعادة تكوين البنية الأساسية للسحابة الخاصة بالكامل باستخدام مفاتيح جديدة. يحتوي ملف الاسترداد على جميع التكوينات المتعلقة بمدخل OpenAdmin. يحتوي ملف النسخ الاحتياطي على محتويات ملف الاسترداد بالإضافة إلى أي بيانات خاصة بوابات لوحة المعلومات مثل الأحداث ومحفوظات الموصل وما إلى ذلك. إذا كنت ترغب في إستعادة OpenAdmin فقط بدون بيانات الحدث وكل شيء، يمكنك إستخدام ملف الاسترداد. في حالة الاستعادة من ملف النسخة الاحتياطية، يتم بعد ذلك إستعادة بيانات مدخل لوحة المعلومات والمسؤول.

حدد على التنزيل لحفظ النسخة الاحتياطية على الكمبيوتر المحلي. بمجرد تنزيل الملف، حدد على إختيار ملف لتحميل ملف النسخ الاحتياطي والتحقق من أنه غير تالف. حدد على التالي للتحقق من الملف ومتابعته.

 

 ︾ ︾ Airgap ︾ ︾ فقط

 

 

 ︽ ︽ Airgap ︽ ︽ فقط

ترى مدخلات مماثلة مثل هذه...

تحذير: عند وجودك في هذه الصفحة لا تقم بالتحديث لأنه قد يتسبب في حدوث مشاكل.

بمجرد الانتهاء من التثبيت اضغط على زر إعادة التشغيل

︾ ︾ Airgap ︾ ︾ فقط

︽ ︽ Airgap ︽ ︽ فقط

بمجرد تمهيد الجهاز بالكامل، يتم تقديم لوحة المعلومات هذه في المرة التالية التي تقوم فيها بتسجيل الدخول باستخدام واجهة المسؤول الخاصة بك.  قد تلاحظ إرتفاع في المعالج في البداية، لكن إذا أعطيت بضع دقائق، فإنه يستقر.

بعد دقائق قليلة...

من هنا تقوم بالتنقل إلى وحدة تحكم نقطة النهاية الآمنة. انقر على الأيقونة الصغيرة التي تبدو مثل النار في الزاوية اليمنى بجوار العلم.

 ︾ ︾ Airgap ︾ ︾ فقط

كما ترى، فشلنا في التحقق من الصحة بسبب حماية لقطة DB، وأيضا بسبب تعريفات العميل و DFC و Tetra. يجب القيام بذلك عن طريق التحديث دون اتصال بالإنترنت عبر ملف ISO الذي تم تنزيله وتم إعداده مسبقا من خلال AMP-Sync وتحميله إلى الجهاز الظاهري (VM) أو تخزينه في موقع NFS.

 

حزمة تحديث AirGap

للمرة الأولى علينا إستخدام هذا الأمر لاستلام قاعدة بيانات الحماية

./amp-sync all

ملاحظة: قم بتنزيل جميع الحزم عبر هذا الأمر ثم تحقق من أنه يمكن أن يستغرق أكثر من 24 ساعة. تعتمد على السرعة وجودة الارتباط. في حالتي مع ألياف 1Gig لا يزال الأمر يستغرق 25 ساعة تقريبا للاكتمال. ويرجع هذا أيضا جزئيا إلى حقيقة أن هذا التنزيل يتم مباشرة من AWS وبالتالي يتم تخريبه.  أخيرا لاحظ أن هذا التحميل كبير. كان الملف الذي تم تنزيله في حالتي تبلغ سعته 323 جيجابايت. صفر

في هذا المثال إستخدمنا CygWin64

1. تنزيل الإصدار x64 من Cygwin وتثبيته.
2. قم بتشغيل setup-x86_64.exe وانتقل خلال عملية التثبيت أختر جميع الإعدادات الافتراضية.
3. أختر مرآة للتنزيل.
4. حدد حزم لتثبيتها:
all -> Net -> Curl
All -> Utils -> Genisoimage
all -> utils -> xmlstarlet
* VPC 3.8.x up - > xorriso

 

ملاحظة الإصدار الصفحة رقم 58. وكما ترون الآن فإن اكسورريسو" مطلوبة. غيرنا تنسيق ISO إلى ISO 9660 وأن التبعية هي ما يحول الصورة إلى التنسيق المناسب حتى يمكن إكمال التحديث. ولسوء الحظ، لا يقدم CygWin64 xorriso في أي من المستودعات المدمجة الخاصة به. ومع ذلك، فبالنسبة لأولئك الذين ما زالوا يرغبون في إستخدام CygWin64، هناك طريقة للتغلب على هذه المسألة.

 

لتتمكن من إستخدام CygWin مرة أخرى، يجب تنزيل xorriso يدويا من مستودع GitHub. افتح المستعرض واكتب <Latest xorriso.exe 1.5.2 بناء مسبق ل Windows> يجب أن يظهر كأول إرتباط يسمى <PeyTy/xorriso-exe-for-windows - GitHub> انتقل إلى صفحة GitHub هذه وقم بتنزيل ملف <xorriso-exe-for-windows-master.zip> داخل ملف zip الذي تجده بين ملفات أخرى قليلة تسمى <xorriso.exe> انسخ هذا الملف ولصقه إلى <CygWin64\bin مسار تثبيت Cyg المحلي. حاول مرة أخرى تشغيل الأمر <amp-sync>. يجب أن لا ترى رسالة الخطأ بعد الآن وتنزيل البدء والانتهاء كما هو موضح في الصورة.

قم بإجراء النسخ الاحتياطي للتيار (في هذه الحالة) 3.2.0 VPC في وضع Airgap.

أنت يستطيع استعملت هذا أمر من CLI

rpm -qa | grep Pri

أو يمكنك أيضا التنقل إلى العمليات > النسخ الاحتياطية، كما هو موضح في الصورة وإجراء النسخ الاحتياطي هناك.

قم بنقل أحدث ISO الذي تم إنشاؤه باستخدام AMP-sync إلى VPC. قد يستغرق هذا الأمر عدة ساعات أيضا استنادا إلى سرعتك. في هذه الحالة، استغرق النقل أكثر من 16 ساعة

/data/tmp

بعد الانتهاء من التحميل، قم بتحميل ISO

mount /data/tmp/PrivateCloud-3.2.0-Updates-2021-11-03-prod.iso /data/updates/

 

انتقل إلى واجهة مستخدم Opdamin لإجراء التحديث عمليات > تحديث الجهاز > تحديد التحقق من تحديث ISO.

في هذا المثال، أتابع تحديث المحتوى أولا

ثم حدد قاعدة بيانات حماية الاستيراد.

 

 
وكما ترون فإن هذه عملية طويلة جدا قد تستغرق وقتا طويلا حتى تكتمل.

 

 

المشكلة رقم 1 - مساحة مستنفدة في مخزن البيانات

 

هنا يمكنك الحصول على مسألتين. بما أن vPC قبل 3.5.2 لا يملك القدرة على تحميل تخزين NFS الخارجي، يجب عليك تحميل تحديث ملف ISO إلى الدليل /data/temp. في حالتي، بما أن مكنسة البيانات كانت سعة 1 تيرابايت فقط، ركضت من الغرفة وتحطم الجهاز الظاهري. بمعنى آخر، تحتاج إلى مساحة لا تقل عن 2 تيرابايت على "مخزن البيانات" لديك لنشر VPC AirGap بنجاح وهو الإصدار 3.5.2 منخفض القيمة

هذه الصورة الموجودة في خادم ESXi الذي يظهر الخطأ المتمثل في عدم توفر مساحة إضافية على محرك الأقراص الثابتة عند محاولة تمهيد جهاز VM. تمكنت من إستعادة هذا الخطأ من خلال التحويل المؤقت لذاكرة الوصول العشوائي (RAM) سعة 128 جيجابايت إلى 64 جيجابايت. ثم تمكنت من التمهيد مرة أخرى. تذكر أيضا أنك إذا قمت بتوفير الجهاز الافتراضي (VM) هذا كجهاز عميل قليل السمك، فإن الجانب السلبي لنشر الجهاز العميل قليل السمك يتمثل في إمكانية زيادة حجم القرص، ولكنه لن يتقلص حتى إذا قمت بتوفير بعض المساحة. بمعنى آخر، دعنا نفترض أنك قمت بتحميل الملف سعة 300 جيجابايت إلى دليل vPC ثم قمت بحذفه. لا يزال القرص الموجود في ESXi يظهر مساحة أقل تبلغ 300 جيجابايت على محرك الأقراص الثابتة لديك

 

المشكلة رقم 2 - التحديث القديم

المشكلة الثانية ^هي إذا قمت بتشغيل تحديث البرنامج أولا كما فعلت في الإصدار ^الثاني من ^إصداري ومن 3.2.0 انتهى بي الأمر مع VPC للترقية إلى 3.5.2 وبسبب ذلك اضطررت إلى تنزيل ملف تحديث ISO الجديد لأن الإصدار 3.2.0 أصبح غير صالح بسبب حقيقة أنني لم أعد على الإصدار 3.2.0 الأصلي.

هذا هو الخطأ الذي ترى إذا حاولت تحميل ملف تحديث ISO مرة أخرى.

 

 

تظهر هذه الصورة طريقة بديلة لتحميل صورة التحديث إلى VPC الخاص بك. في الإصدار 3.5.x، يمكنك إستخدام موقع بعيد مثل تخزين NFS لمشاركة ملف التحديث مع جهاز VPC الخاص بك.

 

فشل التحقق من سلامة النظام مرتبط بحماية قاعدة بيانات المحول (DB) غير متوفر حاليا على الكمبيوتر الشخصي (VPC)

 

 

يبدأ التحديث التالي تلقائيا

 

بعد هذه العملية الطويلة جدا لقاعدة بيانات قاعدة بيانات حماية الاستيراد، يمكنك نقل وتحديث تعريف العميل والبرامج التي يمكنها تقريبا أن تتطلب أكثر من 3 ساعات إضافية.

 
و أخيرا تم، من فضلكم لاحظوا أن هذه العملية ستستغرق وقتا طويلا جدا.

بالنسبة لجهاز VPC، تفضل بزيارة هذا الجهاز الذي يحتوي على طرق أخرى لتحديث جهاز الأجهزة وتثبيت ملف ISO والتمهيد من جهاز USB.

https://www.cisco.com/c/en/us/support/docs/security/amp-virtual-private-cloud-appliance/217134-upgrade-procedure-for-airgapped-amp-priv.html#anc5

 

 ︽ ︽ Airgap ︽ ︽ فقط

أستكشاف الأخطاء وإصلاحها بشكل أساسي

المشكلة #1 - خادم FQDN و DNS

المشكلة الأولى التي يمكن أن تواجهها هي إذا لم يتم إنشاء خادم DNS الخاص بك ولم يتم تسجيل جميع FQDN وحلها بشكل صحيح. قد تبدو المشكلة بهذا الشكل عندما تحاول الانتقال إلى وحدة تحكم نقطة النهاية الآمنة من خلال رمز "fire" لنقطة النهاية الآمنة.  إذا كنت تستخدم عنوان IP فقط، فهذا يعمل، ولكن لا يمكنك تنزيل الموصل. كما ترى في منفاخ الصور ^{ال 3}.

 

إذا قمت بتعديل Host File (مضيف) على جهازك المحلي كما هو موضح في الصورة قم بحل المشكلة وتنتهي بأخطاء.

تتلقى رسالة الخطأ هذه أثناء محاولة تنزيل أداة تثبيت موصل نقطة النهاية الآمنة.

بعد أستكشاف بعض المشاكل وإصلاحها، كان الحل الوحيد الصحيح هو إعداد خادم DNS.

DNS Resolution Console: nslookup vPC-Console.cyberworld.local (Returned 1, start 2021-03-02 15:43:00 +0000, finish 2021-03-02 15:43:00 +0000, duration 0.047382799

================================================================================

Server:         8.8.8.x
Address:        8.8.8.x#53

** server can't find vPC-Console.cyberworld.local: NXDOMAIN

بمجرد تسجيل كافة FQDN في خادم DNS لديك وتغيير السجل في Virtual Private Cloud من DNS العام إلى خادم DNS، يبدأ كل شيء بالعمل كما هو مفترض.

في هذه المرحلة يمكنك تسجيل الدخول وتنزيل الموصل

 

 

يمكنك الحصول على معالج نهج "نقطة النهاية الآمنة" الأولي لبيئتك. يساعدك البرنامج في إختيار منتج مكافحة الفيروسات الذي تستخدمه، إن كان له وجود، بالإضافة إلى التعامل مع البروكسي، وأنواع السياسات التي ترغب في نشرها. تحديد الزر "إعداد مناسب"... يعتمد على نظام تشغيل الموصل.

يمكنك الحصول على صفحة منتجات الأمان الموجودة، كما هو موضح في الصورة. أختر منتجات الأمان التي تستخدمها. فهو يقوم تلقائيا بإنشاء استبعادات قابلة للتطبيق لمنع حدوث مشاكل في الأداء على نقاط النهاية الخاصة بك. تحديد في التالي.

 

تنزيل الموصل.

المشكلة رقم 2 - مشكلة مع المرجع المصدق الجذر

المشكلة التالية التي يمكن أن تواجهها هي إذا كنت تستخدم الشهادات الداخلية الخاصة بك هي أنه بعد التثبيت الأولي، يمكن أن يظهر الموصل على أنه غير متصل.

بمجرد تثبيت نقطة النهاية الآمنة للموصل يمكن رؤيتها على أنها غير متصلة. شوط تشخيص حزمة وانظر خلال ال log، أنت يستطيع حددت الإصدار.

استنادا إلى هذا الإخراج الذي تم تجميعه من الحزمة التشخيصية، يمكنك رؤية خطأ المرجع المصدق الجذر

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1011]: GET request https://vPC-Console.cyberworld.local/health failed (60): SSL peer certificate or SSH remote key was not OK (SSL certificate problem: unable to get local issuer certificate)

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1051]: async request failed (SSL peer certificate or SSH remote key was not OK) to https://vPC-Console.cyberworld.local/health

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1074]: response failed with code 60 

بمجرد تحميل المرجع المصدق الجذر في مخزن المرجع المصدق الجذر الموثوق به وإعادة تشغيل خدمة نقطة النهاية الآمنة. كل شيء يبدأ بالعمل كما هو متوقع.

بمجرد إرتداد موصل خدمة نقطة النهاية الآمنة يصبح متصلا كما هو متوقع.

 

نشاط ضار تم إختباره