更新时间:2023-10-20
功能说明
深信服SCP云计算平台支持在线升级补丁,可定时获取最新的补丁资讯,保障设备的稳定性和安全性。
注意事项
- 当HCI集群被SCP纳管时,只需在SCP上开启补丁服务, HCI无需配置。
- 不建议管理网可以直接访问在线补丁服务平台的方式,不利于平台的安全。
- 配置完毕补丁服务必须测试连通性,确保平台可以连接到补丁服务器。
- 使用深信服网络代理云主机访问在线补丁平台模式,导入网络代理云主机后,请勿修改云主机名称(默认名称为:_SangforaOperation_VM_WorkStation_),否则会导致代理服务失效。
前提条件
客户网络需要放通深信服补丁服务器的地址update1.sangfor.net等,确保平台能访问到补丁服务器。
操作步骤
- 点击[管理/系统维护与升级/补丁升级],进入[补丁服务开启设置]页面,勾选“开启补丁服务”。
当未开启补丁服务或未连通补丁平台时,平台右上角出现“补丁告警”图标,点击可查看提醒,并且可以通过扫描SCP或各个集群的二维码获取对应的待打补丁信息,根据提供的下载链接完成补丁下载。
- 点击[查看在线补丁平台地址],可以获取在线补丁平台的访问地址。
用户需要在相应的网关设备中放通下表所示地址,以保障平台或代理能够访问。
- 设置补丁服务通信方式。
• 场景一:SCP平台可以直接联网。
首先确认SCP的管理口IP是否可以访问在线补丁服务器的地址。若可以,则选择“直接访问在线补丁平台”,点击<测试连通性>按钮,测试网络连通性,出现测试成功字样,点击<确定>。
• 场景二:SCP平台通过第三方代理联网。
点击[下载第三方代理程序部署指引]。参考《深信服超融合HCI&SCP搭建第三方代理服务指导说明》文档,安装和配置第三方代理程序,并确认代理服务器可以访问步骤2中的在线补丁服务器地址。如下图所示部署2个网口,一个可访问到互联网连接到深信服补丁服务器,另一个网口可访问内网的超融合平台。
• 在SCP平台上填入上述设置的代理的地址(IP+端口,示例:10.250.0.20:3128)。以及部署代理服务器过程中设置的代理的认证用户名和密码。
• 其中IP地址为代理服务器内网口IP。
• 端口为代理服务的发布端口,默认为3128。
• 点击<测试连通性>按钮,确认网络已连通。
• 场景三:SCP平台不能联网,且本地数据中心已搭建了SP补丁服务器。
客户使用了深信服多个产品,且无法联网,此时只需在数据中心中部署1台深信服内网SP补丁服务器,该服务器可充当在线补丁平台的统一代理进行联网,以及补丁包下载缓存分发至多产品。在离线更新补丁时,管理员仅需统一将补丁包上传至内网SP补丁服务器上即可,各个产品自行获取补丁包更新,无需管理员逐一登录多个产品平台进行升级。
• 选择“使用本地搭建的SP补丁服务器”。
• 联系深信服技术支持获取离线补丁服务器的vma模板。
• 在[计算/云主机/创建/导入云主机]导入离线补丁服务器的云主机。
• 导入完毕,点击[更多/编辑]云主机。编辑网卡,连接到已经规划好的网络。
• 打开控制台,输入默认的用户名密码,admin/Sangforupdater 。登录成功后系统会要求更改默认密码,请配置新密码。
• 使用initsrv命令修改IP地址、掩码、网关、DNS。按Y保存配置会自动重启olu服务器完成配置。
• 确认网卡配置,检查网络的连通性。
• 输入命令moashell。弹出二维码,通过深信服口袋助理(MOA)扫描,在口袋助理“小助理”获取密码,输入到命令行。(需要深信服技术支持处理)。
• 创建olu服务器使用的用户并设置好密码,将olu用户的所属组改为root。
• 使用新加的olu账号登录补丁服务器,通过sftp工具上传SCP及NFV设备的补丁包到/var/wwwroot 目录,解压后即可在SCP补丁列表中查看。
• Olu服务器配置完毕,在SCP界面测试SP补丁服务器的连通性,填入SP补丁服务器的地址,点击<测试连通性>。
- NFV补丁升级设置需要登录到单个集群,并前往[补丁设置]进行编辑。详情请参考《深信服超融合HCI用户手册》。
- 设置紧急联系人(非必须),确认信息正确无误后点击<保存>。
- 进入[系统维护与升级/补丁升级/补丁列表]页面,可以进行补丁升级相关设置。
• 点击<立即探测补丁>,此时平台会立即发起一次补丁请求。
• 点击<补丁升级设置>,默认选择“自动升级”,在线获取到平台待打的补丁之后,会在凌晨1点- 6点自动下载升级。建议保留默认选择“自动升级”,也支持 “手动升级”,若选择手动下载,则在补丁列表内对未升级的补丁,点击[升级],开始下载并升级。
• 有感补丁仅支持“手动升级”,需要用户根据补丁列表展示出的前置条件和升级影响,在影响可接受时间点,由用户点击执行[升级]。