更新 GravityZone 产品离线
该 GravityZone 默认更新系统需要互联网连接。当在 GravityZone 隔离网络中使用时,您还需使组件和特征库更新支持离线可用。下文所述信息将帮助您为隔离网络环境配置 GravityZone 离线更新系统。
要更新一个或多个 离线 GravityZone 实例 (位于隔离网络中),您需要 一个额外的在线 GravityZone 实例 部署在具有互联网访问权限的网络中(以下简称“在线实例”)。该在线实例将作为离线实例的更新源。
首先,您需要对在线和离线实例进行初始设置。当离线更新系统准备就绪后,您即可定期更新隔离的 GravityZone 环境。
本页面右上角索引中列出了 GravityZone 离线更新系统包含的各个阶段。
前提条件
-
需在具备互联网访问权限的网络中部署一个 GravityZone 实例(在线实例)。该在线实例必须满足:
-
互联网访问权限(直接或通过代理)
-
开放80和443端口访问(更多关于 GravityZone 使用的端口信息,请参阅 GravityZone (本地部署)通信端口 ).
-
仅安装 数据库服务器 和 更新服务器 角色。
-
-
一个或多个部署在无互联网访问权限网络中的 GravityZone 实例(离线实例)。
-
每个离线实例需配备独立的离线许可证密钥 GravityZone 实例。离线密钥是根据请求由 Bitdefender 生成,并基于您的原始许可证密钥。
-
两个 GravityZone 实例必须具有相同的设备版本。
最佳实践
-
建议在完整归档中仅包含您环境中使用的操作系统安装包。选择所有类型系统的安装包会增加归档大小。
每个归档的预估大小如下:
-
精简归档可能需要2.5 GB。
-
完整归档可能需要15 GB(如果仅选择 BEST Windows和 BEST Linux安装包)。
-
-
建议从完整归档中排除 安全服务器 安装包,如果您的环境中的端点未配置使用 远程扫描 作为扫描类型。
-
建议按以下方式将更新归档上传至离线实例:
-
精简归档:至少每天或尽可能频繁地上传。
-
完整归档:每月上传一次,或在重要 GravityZone 或 BEST 更新发布时上传。更多信息,请参阅 版本说明 .
-
-
建议在设备上同时仅保留一个完整归档和一个精简归档。
设置在线 GravityZone 实例
在此阶段,您需要将 GravityZone 实例部署到具备互联网访问权限的网络,并将其配置为离线更新服务器。
-
将最新版 GravityZone 镜像部署至联网的机器上。
警告
每次需要在离线环境中更新 GravityZone 时,都必须执行此操作。
-
选择 高级设置 选项。
-
仅安装 数据库服务器 和 更新服务器 角色。
-
在虚拟环境中访问机器的TTY终端(或通过SSH连接)。
-
使用
bdadmin用户及您设置的密码登录。 -
执行命令
sudosu以获取 root 权限。 -
运行以下命令安装离线
gzou-mirror软件包:# apt update # apt install gzou-mirror
该
gzou-mirror软件包具有以下功能:-
配置 更新服务器 以永久保持所选组件与 Bitdefender 在线服务器的同步。
-
为在线实例设置网络服务,提供离线更新存档的配置和下载选项。
-
配置并下载初始更新文件
在此阶段,您将通过在线实例上安装的网络服务配置更新存档设置,然后创建设置离线实例所需的存档文件。随后,您需要下载更新文件并将其放置在便携式存储设备(U盘)上。
-
通过以下形式的URL访问网络服务:
https://在线实例更新服务器IP或主机名,使用用户名bdadmin和您设置的密码。
-
按如下方式配置离线更新存档:
-
在 组件 > 安全代理 下,选择要包含在离线更新存档中的安全代理套件、产品更新和特征码更新。
-
在 组件 > 安全服务器 选择 安全服务器 工具包、产品更新和特征库更新,将其包含在离线更新存档中。
-
在 设置 中,编辑您的更新存档首选项。
在线实例上安装的CRON任务将每天检查可用更新(工具包、产品更新、特征库更新)。第二个CRON任务将每分钟检查是否需要根据所选时间间隔创建新的精简或完整存档,以及是否有足够的可用磁盘空间。
您可以使用 完整存档创建间隔(天) 和 精简存档创建间隔(小时) 选项来设置CRON任务创建以下存档的时间间隔:
-
完整存档 (选定的产品更新 + 特征库更新 + 安装工具包 + Debian仓库)
-
精简存档 (选定的特征库更新)
要在磁盘上保留先前下载的安装工具包,无论当前工具包选择如何,请使用选项 保留磁盘上的先前文件,无论是否选择工具包 .
-
-
-
点击 创建 > 完整存档 以创建第一个完整存档。等待存档创建完成。
所有存档均创建于以下位置:
https://在线实例更新服务器IP或主机名/snapshots -
从在线实例下载完整更新存档和
gzou-bootstrap文件。gzou-bootstrap文件仅在离线初始设置期间需要。 GravityZone 实例。后续更新时,您只需使用更新归档文件(完整版或精简版)。您有以下几种选择:
-
通过网页服务:点击 下载归档文件 进入包含更新文件链接的页面。点击完整更新归档文件及
gzou-bootstrap文件链接,将其下载至您的终端。 -
使用您偏好的SCP/SCTP客户端(例如WinSCP)与在线实例建立SCP会话,并将上述文件传输至在线网络的任意位置。在线实例上的默认路径为:
/opt/bitdefender/share/gzou/snapshots
-
通过SAMBA共享。使用只读SAMBA共享从以下位置获取离线更新归档文件:
\\在线实例更新服务器IP或主机名\gzou-snapshots注意
如需提供访问SAMBA共享的凭证,其与在线实例凭证相同(bdadmin用户及密码)。
-
设置离线 GravityZone 实例
在此阶段,您将部署并配置离线实例以接收通过在线实例生成的归档文件进行的更新。除非另有说明,所有命令均需以 root .
-
将 GravityZone 部署至隔离环境中的机器。
-
仅安装 数据库服务器 与 更新服务器 角色。
-
传输更新归档文件及
gzou-bootstrap将通过便携存储设备(U盘)从在线实例下载的文件传输至离线实例的/home/bdadmin目录下。重要提示
为确保离线更新正常运行,请确认:
-
更新压缩包与
gzou-bootstrap文件必须位于同一文件夹内。 -
更新压缩包必须是 完整版 归档文件。
-
-
按如下步骤执行
gzou-bootstrap文件:-
在虚拟环境中访问机器的TTY终端(或通过SSH连接)。
-
将
gzou-bootstrap文件转为可执行文件:chmod+xgzou-bootstrap -
运行:
./gzou-bootstrap
-
-
选择向离线实例传输更新压缩包的方式:
-
若选择 Windows共享文件夹 (Samba共享),需指定隔离网络中Windows共享的路径。离线实例将自动连接该路径获取更新压缩包,并输入访问该位置所需的凭据。
-
若选择 SCP 方式,则需手动通过SCP将文件传输至离线实例的
/opt/bitdefender/share/gzou/snapshots/文件夹。
注意
若需后续更改传输方式:
-
通过虚拟环境访问离线实例的TTY终端(或通过SSH连接)。
-
使用
bdadmin用户及预设密码登录。 -
执行命令
sudosu获取root权限。 -
运行:
rm -f /opt/bitdefender/etc/gzou-target.json dpkg-reconfigure gzou-target
将出现配置对话框供您修改设置。
-
-
-
切换至离线 GravityZone 控制台命令行并安装其余角色。
-
通过网页浏览器访问离线控制台并输入许可证密钥(离线模式下)。
使用离线更新
完成 GravityZone 实例配置后,按以下步骤更新离线安装:
-
通过本文所述任一方法,从在线实例下载最新离线更新压缩包至首选网络共享位置 此处 .
注意
常规更新无需
gzou-bootstrap文件,该文件仅用于离线实例的初始设置阶段。 -
通过以下任一方式将更新包传输至离线实例:
-
Samba共享
使用U盘将更新包从隔离网络传输至已配置的Samba共享,文件将自动同步至离线实例的以下目录:
/opt/bitdefender/share/gzou/snapshots/ -
SCP
手动将文件传输至
/opt/bitdefender/share/gzou/snapshots/离线实例的文件夹中。
-