CSSP纳管SSLVPN报错，设置Vss私钥失败，请在【系统】-【网络】中配置当前云安全管理平台的EIP   1.排查CSSP和SSLVPN时间是否超过15分钟   2.排查SSLVPN的API接口是否包含CSSP的IP地址 1.CSSP和SSLVPN时间相差15分钟。 2.SSLVPN API接口IP地址未写CSSP地址 1.调整两台设备的时间 2.调整API接口IP 影响SSLVPN接入 否      

vAF等组件无法在线更新规则库   点击立即更新、当前升级状态变为“空闲”后，最新版本没有变化，或是最新版本更新了、但当前版本没更新       1、vAF等组件默认配置以CSSP作为更新规则库的代理服务器，CSSP通过运维管理口访问到深信服规则库服务器，流量走向如下 2、因此，需要放通CSSP到深信服规则库服务器的网络，相关服务的域名如下： update1.sangfor.netupdate2.sangfor.netupdate3.sangfor.netupd.sangfor.com.cnwww.sinfors.com.cndownload.sangfor.com.cn   默认DNS为 114.114.114.114，也需要放通   3、测试 CSSP 自身是否能访问到上述服务，在CSSP宿主机上，依次执行如下命令，确保每个都有响应 wget -O - --no-check-certificate https://update1.sangfor.net wget -O - --no-check-certificate https://update2.sangfor.net wget -O - --no-check-certificate https://update3.sangfor.net  wget -O - --no-check-certificate https://upd.sangfor.com.cn  wget -O - --no-check-certificate https://www.sinfors.com.cn  wget -O - --no-check-certificate https://download.sangfor.com.cn   4、如上述服务测试都能访问，说明CSSP到规则库服务器的网络是通的，接下来查组件   5、以vAF为例，先测试 vAF 到 CSSP 的网络是否能通（重点测试大包），以及 3128 端口是否能通 CSSP默认的应用管理ip为 8.8.0.1，如有修改应用管理ip池，则以实际为准 ping -s 1600 8.8.0.1   wget -O - --no-check-certificate https://8.8.0.1:3128 看到 connected 说明端口是通的   6、vAF可以通CSSP的3128端口后，测试vAF是否可以通过CSSP代理访问到规则库服务 依次执行如下命令，确保每个都能通 wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://update1.sangfor.net wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://update2.sangfor.net wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://update3.sangfor.net  wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://upd.sangfor.com.cn  wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://www.sinfors.com.cn  wget -O - --no-check-certificate -e "https_proxy=http://admin:network@8.8.0.1:3128" https://download.sangfor.com.cn     7、检查vAF的代理设置是否被人为修改过 IP 地址为 CSSP的eth1口地址（默认8.8.0.1），端口 3128，如下图所示：   8、如vAF能访问到规则库服务器，代理配置也正确，说明网络侧无问题。需要协调vAF产线专家进一步排查无法在线更新规则库的原因 vAF手动修改过代理规则库配置 ，或CSSP自身无法访问到6个规则库服务   如vAF手动修改过代理规则库配置，则还原； 如CSSP自身无法访问到6个规则库服务，放通即可； 如CSSP无法访问到默认DNS，则可以修改 /etc/resolv.conf 文件，设置可访问的DNS，如下图：   如客户侧无可用DNS，则可以修改 /etc/hosts 文件手动绑定域名ip，如下图： 域名对应的IP，以客户网络中实际解析到的为准   无 否 无   squid网络链路              

云内场景（包括4.0.13C、4.0.16及以上版本）纳管AF成功后，AF上还是显示未授权 1、AF授权页面，显示 “当前系统未被授权，请及时获取授权”，但带宽授权显示了授权规格 2、检查 AF 的cpu/内存，不是有效的规格 有效的规格： 2C1G 2C2G 2C4G 2C8G 4C2G 4C4G 4C8G 8C8G 8C16G 12C8G 12C16G 12C24G 16C16G 16C32G 20C40G 24C24G 32C32G 48C48G 48C96G 56C96G 56C128G 88C128G   AF对CPU内存规格有限制，CPU内存规格判断为无效时，授权不上 调整AF的CPU内存规格为有效的规格 重启AF，影响业务 否 无 AF授权/CPU/内存    

cssp导入授权失败 进入hci一键巡检无异常，查看主机已用内存超过90%，默认超过（）%产生告警 hci内存超过阈值告警导致无法授权   【管理】-【告警设置】将主机占用内存阈值调制95%后，界面重新授权正常 无   若其他参数也超过阈值，手动修改即可      

cssp单点登录ac只能到账号密码页面 无法直接进入控制台。     1.AC打了最新的JG 33补丁包。 1.给ac打KB包解决 KB-AC-20230808-001-01.ssu ( 0.01M  ) 不影响业务 不重启设备 重启ac的sangfor_waf服务 否      

docker exec 进入容器失败 ，页面无法访问 报错信息： oci runtime error: exec failed: container_linux.go:247: starting container process caused \"process_linux.go:75: starting setns process caused \\\"fork/exec /proc/self/exe: no such file or directory\\\"\"\n" 1、docker exec -it etc_cssp_ui_1 bash 报错 oci runtime error: exec failed: container_linux.go:247: starting container process caused \"process_linux.go:75: starting setns process caused \\\"fork/exec /proc/self/exe: no such file or directory\\\"\"\n" https://phpor.net/blog/post/6142 目前与网上这个现象一致，应该是docker 的bug，暂不修复 重启docker 即可恢复 service docker restart cssp的服务会中断一段时间，不影响业务 是