更新时间:2023-11-27
功能说明
在线补丁服务,可定时从在线补丁平台获取最新的补丁资讯,保障设备的稳定性和安全性。
管理网络可以连接互联网的超融合设备,直接访问深信服在线补丁平台更新最新的补丁资讯。管理网络在内网的超融合设备,如果虚拟机可以访问互联网,可以使用深信服网络代理虚拟机进行补丁更新;如果虚拟机网络无法连接互联网,可以使用第三方网络代理访问在线补丁平台;也可以在内网部署SP补丁服务器进行补丁更新。
注意事项
- 配置完毕补丁服务必须测试连通性,确保平台可以连接到补丁服务器。
- 不建议管理网可以直接访问在线补丁服务平台的方式,因为直接将超融合暴露到公网,不利于平台的安全。
- 使用深信服网络代理虚拟机访问在线补丁平台模式,导入网络代理虚拟机后,请勿修改虚拟机名称(默认名称为:_SangforaOperation_VM_WorkStation_),否则会导致代理服务失效。
前提条件
客户网络需要放通深信服补丁服务器的地址update1.sangfor.net等,确保平台能访问到补丁服务器。
操作步骤
- 进入[系统管理/补丁升级]界面,点击[补丁设置]页签。
- 点击[查看在线补丁服务器的地址]确保补丁服务器已在客户网络中放通。放通要求如下表所示。
补丁服务器地址
|
用途
|
放通要求
|
https://cloudbgcop.sangfor.com
|
云端服务地址
|
必须放通
|
http://update1.sangfor.net
|
在线补丁包平台地址
|
至少放通一个,建议放通多个
|
http://update2.sangfor.net
|
http://update3.sangfor.net
|
http://121.46.26.221
|
- 勾选“开启补丁服务”。
- 勾选我已阅读并同意[隐私协议]。
- 根据超融合部署的场景和网络条件,选择一种合适的在线平台通信方式进行设置。(选择对应场景配置完毕后,直接跳过其他场景到步骤6进行配置)。
场景一:直接访问在线补丁平台。
• 通信方式设置选择[直接访问在线补丁平台],点击<保存并测试连通性>,确认网络已连通。
场景二:超融合平台不能联网,但超融合上可以部署能联网的虚拟机。
• 下载虚拟机模板。
• [新增虚拟机/导入虚拟机],其中建议的设置项:开启故障迁移;存储位置使用共享存储;运行位置选择“自动选择”。
• 编辑虚拟机,查看高级配置,确认配置项:已勾选“开启HA功能”;已勾选“主机启动时,自动运行此虚拟机”。
• 配置虚拟机eth0连接到物理出口,并确保该物理出口可访问外网。在页面修改IP设置,将规划好的地址配置给虚拟机,开启虚拟机。
• 如下图,在线补丁平台通信方式设置中,配置eth0的IP、子网掩码、网关(选填)、首选DNS(选填)、备选DNS(选填),测试连通性,确保该IP可访问在线补丁平台地址。(eth1是代理虚拟机的内网口,如有NFV设备则需要配置eth1网口用于连接NFV设备,配置方法参考eth0口的配置,与NFV设备所在网络连通)。
场景三:超融合平台不能联网,但通过第三方代理可进行联网。
• 网络部署如上图,该场景选择使用第三方代理服务器访问在线补丁平台。
• 点击<下载第三方代理程序部署指引>,下载的内容为一个压缩包,名为“Proxy_Squid_Deployment_Guidance.rar”,里面包含文档说明以及推荐的代理程序安装包和配置文件等。
• 参考下载的配置指导,在代理服务器上安装和配置第三方代理程序,并确认代理服务器可以访问深信服在线补丁服务器。如下图所示部署2个网口,一个可访问到互联网连接到深信服补丁服务器,另一个网口可访问内网的超融合平台。
• 在超融合平台上填入第二步设置的代理的地址(IP+端口,示例:10.250.0.20:3128)。以及部署代理服务器过程中设置的代理的认证用户名和密码。
• 其中IP地址为代理服务器内网口IP。
• 端口为代理服务的发布端口,默认为3128。
• 点击<测试连通性>,确认网络已连通。
场景四:超融合平台不能联网,且本地数据中心已搭建了SP补丁服务器。
客户使用了深信服多个产品,且无法联网,此时只需在数据中心中部署1台深信服内网SP补丁服务器,那么在离线更新补丁时,管理员仅需统一将补丁包上传至内网SP补丁服务器上即可,各个产品自行获取补丁包更新,无需管理员逐一登录多个产品平台进行升级。
客户使用了深信服多个产品,只需部署1台深信服内网SP补丁服务器,该服务器可充当在线补丁平台的统一代理进行联网,以及补丁包下载缓存分发至多产品。
• 该场景选择“使用本地搭建的SP补丁服务器”方式。
• 联系深信服技术支持获取离线补丁服务器的vma模板。
• 在[虚拟机\新增\导入虚拟机]导入离线补丁服务器的虚拟机。
• 导入完毕,点击<转到虚拟机>。 点击<编辑>虚拟机。编辑网卡,连接到已经规划好的网络。
• 打开控制台,输入默认的用户名密码,admin/Sangforupdater 。登录成功后系统会要求更改默认密码,请配置新密码。
• 使用initsrv命令修改IP地址、掩码、网关、DNS。按Y保存配置会自动重启olu服务器完成配置。
• 确认网卡配置,检查网络的连通性。
• 输入命令moashell。弹出二维码,通过深信服口袋助理(MOA)扫描,在口袋助理“小助理”获取密码,输入到命令行。(需要深信服技术支持处理)。
• 创建olu服务器使用的用户并设置好密码,将olu用户的所属组改为root。
• 使用新加的olu账号登录补丁服务器,通过sftp工具上传超融合及NFV设备的补丁包到/var/wwwroot 目录,解压后即可在超融合平台补丁列表中查看。
• Olu服务器配置完毕,在超融合界面测试SP补丁服务器的连通性,填入SP补丁服务器的地址,点击<测试连通性>。
- 设置安全组件(aSEC)补丁服务(可选),选择“补丁服务的通信方式与HCI一致”。
- 建议用户填写紧急联系人(非必须)并在页面底部点击<保存>。