Consideraciones para la implementación de Zoom Node

Esta sección contiene varios ejemplos de cómo Zoom Node puede dar soporte a varios módulos de servicio como Zoom Meetings Hybrid y Zoom Phone Local Survivability (ZPLS). Las implementaciones típicas con una Dirección IP dedicada pueden verse como la siguiente colección de diagramas.

Cada servicio implementado en Zoom Node requiere una Dirección IP única. Un Zoom Node tendrá hasta cinco (5) Direcciones IP asignadas si al Nodo se le ha asignado una dirección específica para la administración y una para cada servicio implementado (hasta cuatro) en el Nodo. Un Zoom Node que ejecute un solo servicio (como ZPLS) puede implementarse con una sola Dirección IP si al Nodo y al servicio se les asigna compartir la misma Dirección IP.

A continuación se muestran varias opciones de implementación. Observe el número de IP y certificados (CN/SANs) para las distintas opciones de implementación.

Opción 1: Zoom Meetings Hybrid implementado con IP y nombres de host dedicados

La imagen anterior resume los requisitos de configuración de IP y certificado para implementar Zoom Meetings Hybrid en entornos locales o de nube híbrida.

La tabla a continuación desglosa el ejemplo de Nodo e incluye sus módulos de servicio de proxy activo y MMR:

La imagen anterior describe la configuración mínima necesaria para implementar Zoom Phone Local Survivability (ZPLS). ZPLS permite que el servicio telefónico siga disponible en caso de interrupción de Internet o de la nube al ejecutar la lógica de supervivencia localmente en una VM de Zoom Node.

Los siguientes nombres de host deben configurarse en DNS e incluirse en el certificado TLS:

• node1.customer.com

• zplsl.customer.com

Asignación funcional del nombre de host

Configuración del certificado TLS

Los certificados deben generarse o adquirirse (CA pública o privada) para incluir tanto el CN como los SANs enumerados anteriormente. Esto permite una validación TLS adecuada para una comunicación segura entre módulos.

Requisitos de Dirección IP

Aunque se requieren cinco (5) IP para la implementación general, solo se usan activamente dos (2) Direcciones IP en la implementación de ZPLS: una por módulo, ejecutándose en una VM de Node dedicada.

¿Cómo se comparan estos diagramas? La primera imagen muestra un ejemplo de una implementación híbrida de Zoom Meetings. La segunda imagen muestra un ejemplo de una implementación de supervivencia local de Zoom Phone.

Puede compartir la primera IP/nombre de anfitrión entre el SO y el primer módulo, si lo desea, para reducir la cantidad de Direcciones IP, nombres de anfitrión y Nombres Alternativos del Sujeto (SAN) requeridos.

Opción 2: Zoom Meetings Hybrid implementado con una IP compartida y un nombre de anfitrión compartido

Esta configuración repite la estructura de Node como se ve en el diagrama de la Opción 1 de Zoom Meetings Hybrid. Sin embargo, en esta implementación, el SO de Node comparte su Dirección IP con el primer módulo implementado (normalmente, Zoom Conector Proxy, ZCP). Esto da como resultado una menor utilización de IP mientras se mantienen los requisitos de TLS y funcionales.

Los siguientes nombres de host deben configurarse en DNS e incluirse en el certificado TLS:

• zcp1.customer.com

• mmr1.customer.com

• mmr2.customer.com

• mmr3.customer.com

Asignación funcional del nombre de host

Configuración del certificado TLS

Los certificados deben incluir todos los SAN para admitir una comunicación TLS segura entre Zoom Node y los módulos de Zoom instalados.

Requisitos de Dirección IP

La imagen anterior muestra una implementación mínima de ZPLS donde el SO de Node comparte su Dirección IP con el módulo ZPLS instalado. Este es el único escenario en el marco de Zoom Node donde un certificado TLS de un solo anfitrión es válido.

El siguiente nombre de anfitrión debe configurarse en DNS e incluirse en el certificado TLS:

• zplsl.customer.com

Asignación funcional del nombre de host

Configuración del certificado TLS

En esta configuración, un certificado de un solo anfitrión es suficiente, ya que tanto el SO como el módulo ZPLS comparten el mismo nombre de anfitrión y Dirección IP.

Requisitos de Dirección IP

Decida qué método de gestión de certificados funciona mejor para sus implementaciones

Cada módulo de servicio implementado en Zoom Node requiere un certificado válido firmado por una Autoridad de Certificación (CA) de confianza pública de la lista de confianza de certificados de Zoom Node. Esto incluye autoridades públicas reconocidas.

Zoom Node ofrece dos métodos de gestión de certificados:

• PKI automática: Esta innovadora solución automatiza la inscripción y renovación seguras de certificados con Autoridades de Certificación (CA) de confianza pública. Zoom cubre los costos asociados con la inscripción y la renovación.

• Traiga su propio certificado (BYOC): Con esta opción, usted proporciona sus propios certificados, firmados por cualquier CA principal de confianza pública. Usted gestiona la inscripción y las renovaciones de los certificados. Se aplican consideraciones adicionales con respecto al potencial de Zoom Node de hasta cinco nombres de anfitrión/SAN al usar certificados proporcionados por el cliente, que se detallan más abajo.

Gestión automática de certificados con PKI automática

Zoom Auto PKI instala automáticamente certificados CA válidos de confianza pública para la plataforma Zoom Node, así como para cualquier módulo implementado en ella. La renovación de certificados también se gestiona automáticamente. Esto simplifica la gestión de certificados para todos los servicios y para el propio Zoom Node.

Comprender la inscripción y renovación de certificados de Auto PKI

El siguiente escenario puede ayudarle a comprender cómo funciona la inscripción y renovación de certificados.

Por ejemplo: Un administrador ha implementado una nueva instancia de Node. Cada instancia requiere un certificado x509 válido. La clave privada del certificado nunca debe salir de esta instancia.

El proceso de Auto PKI realiza los siguientes pasos:

1. Recuperación de plantilla: Obtiene todas las plantillas de configuración compatibles, incluidas las opciones para varios proveedores de CA, desde el servicio Auto PKI en la nube de Zoom.

2. Recopilación de Dirección IP: Reúne todas las Direcciones IP utilizadas por los servicios que se ejecutan en el Nodo y las envía al servicio Auto PKI en la nube de Zoom.

3. Aprovisionamiento de nombres DNS: El servicio en la nube de Auto PKI devuelve un conjunto de nombres DNS en el formato <instance_identificador>.<customer_identificador>.zoomonprem.com. Estos dominios están configurados con registros A/AAAA.

4. Solicitud de nombre DNS reservado: Solicita un nombre DNS reservado en el formato rsvd-<cadena_aleatoria>.<identificador_del_cliente>.zoomonprem.com.

5. Generación de solicitud de certificado: Genera una solicitud de certificado x509, usando los nombres DNS del tercer paso en el campo SAN y el nombre reservado del cuarto paso en el campo Nombre común (CN).

6. Emisión de certificado: Envía la Solicitud de firma de certificado (CSR) al servicio Auto PKI en la nube de Zoom. Luego, este servicio trabaja con proveedores de CA para emitir el certificado, que incluye la lista SAN y el campo CN del paso anterior.

7. Almacenamiento local: Escribe en el almacenamiento local el certificado x509 recién emitido del último paso y su clave privada correspondiente (generada anteriormente), haciéndolos disponibles para los servicios que se ejecutan en la instancia de Node.

Auto PKI simplifica la gestión de certificados en Zoom Node al supervisar automáticamente las fechas de vencimiento y solicitar nuevos certificados, eliminando la necesidad de renovación manual.

Traiga sus propios certificados (BYOC)

Puede instalar sus propios certificados válidos, firmados públicamente, en Zoom Node mediante la interfaz web local. Puede hacerlo durante la instalación inicial o en un momento posterior. El proceso resultará familiar para quienes estén acostumbrados a instalar certificados en aplicaciones basadas en la web.

Si opta por usar sus propios certificados, recuerde que el certificado estará en un servidor que se comunica con múltiples nombres de anfitrión. Por lo tanto, el tipo de certificado que Seleccione debe admitir cifrado para el tráfico originado desde más de un nombre de anfitrión (CN del certificado). Todos los nombres de anfitrión utilizados para Node y cualquier servicio implementado deben poder resolverse públicamente mediante los servicios de nube de Zoom.

Zoom recomienda dos tipos de certificados:

• Certificado comodín

• Certificado Multi-SAN (también conocido como certificado multidominio, certificado SAN o certificado UCC)

Certificados comodín: recomendados por su simplicidad

Un certificado comodín puede cifrar el tráfico de cualquier nombre de host en el dominio. Por ejemplo: un certificado comodín como *.customer.com puede cifrar el tráfico de host1.customer.com y host2.customer.com o cualquier nombre dentro de .customer.com.

Cuando implementa Zoom Node e instala el certificado comodín, cifrará automáticamente el tráfico de cualquier servicio que implemente en el Node, con el requisito de que todos los servicios implementados utilicen un nombre de dominio completamente calificado (FQDN) del dominio comodín.

Esto minimiza el esfuerzo para implementar servicios en el Node: no necesita saber los nombres de los servicios antes de implementarlos. Sin embargo, necesita conocer los nombres de los servicios si usa el método de certificado multi-SAN.

Certificados Multi-SAN, Multi-Dominio, SAN o UCC

Se necesita un certificado Multi-SAN para Zoom Node porque cifra el tráfico de cinco (5) nombres de host. Una solicitud única para este certificado requiere conocer de antemano toda la información necesaria, incluidos los nombres previstos del Node y los nombres de todos los servicios programados para su implementación en el Node. Por ejemplo, con un módulo como ZPLS, solo se implementa un módulo ZPLS por Node, por lo que solo se necesita un SAN adicional para el nombre de host del servicio ZPLS.

La siguiente tabla puede usarse como ejemplo:

Este ejemplo es de una configuración típica, con un Zoom Node alojando ZPLS en la misma IP más dos servicios adicionales en IPs separadas. Reemplace “company.com” con su dominio real y use las direcciones IP de su red.

Requisitos de resolución de DNS

Zoom requiere que los nombres de host sean resolubles públicamente para que se pueda establecer una confianza bidireccional. Todos los nombres de host de Zoom Node y todos los nombres de host de servicios desplegados en los nodos deben incluirse en la zona DNS.

Si su Organización ejecuta servicios o dominios DNS internos y externos separados, los nombres de host de Zoom Node deben alojarse en una zona resoluble por sus servidores DNS externos (puede restringirse para resolver solo rangos de IP de Zoom). Sus usuarios internos de Zoom y la nube de Zoom necesitan comunicarse usando el mismo conjunto de nombres de host.