跳至主内容

GravityZone 虚拟设备

管理 GravityZone 设备

GravityZone 设备配有基础配置界面,可通过管理虚拟化环境的管理工具进行访问(设备部署于该虚拟化环境中)。

首次完成 GravityZone 设备部署后,可用的主要选项包括:

使用方向键和 Tab 键在菜单和选项间导航。按 Enter 键选择特定选项。

配置主机名设置

GravityZone 角色的通信通过其所安装设备的IP地址或DNS名称进行。

默认情况下, GravityZone 组件使用IP地址进行通信。

如需启用通过DNS名称通信,必须为 GravityZone 设备配置DNS名称,并确保其能正确解析为设备配置的IP地址。

前提条件:

  • 在DNS服务器中配置DNS记录。

  • DNS名称必须能正确解析为设备配置的IP地址。因此需确保设备已配置正确的IP地址。

配置主机名设置步骤:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 从主菜单中选择 配置主机名设置 .

  3. 输入设备主机名及Active Directory域名(如需要)。

  4. 选择 确定 保存更改。

配置网络设置

可将设备配置为自动从DHCP服务器获取网络设置,或手动配置网络设置。

若选择使用DHCP,必须将DHCP服务器配置为为该设备保留特定IP地址。

配置网络设置步骤:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 在主菜单中选择 配置网络设置 .

  3. 选择网络接口(默认为 eth0 ).

  4. 选择配置方式:

    • 手动配置网络设置

      需指定IP地址、子网掩码、网关地址及DNS服务器地址。

    • 通过DHCP自动获取网络设置

      仅当已配置DHCP服务器为设备保留特定IP地址时方可使用此选项。

  5. 可通过选择相应选项查看当前IP配置详情或链路状态。

配置代理设置

若设备通过代理服务器连接互联网,则必须配置代理设置。

注意

代理设置也可通过 控制中心 , 配置 > 代理 页面进行配置。一处修改代理设置将自动同步至另一处。

配置代理设置步骤:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 在主菜单中选择 配置代理设置 .

  3. 选择 配置代理设置 .

  4. 输入代理服务器地址。

    使用以下语法:

    • 若代理服务器无需身份验证:

      http(s)://<IP/主机名>:<端口>

    • 若代理服务器需要身份验证:

      http(s)://<用户名>:<密码>@<IP/主机名>:<端口>

  5. 选择 确定 以保存更改。

选择 显示代理信息 以检查代理设置。

MDM 通信服务器

注意

仅当您的许可证密钥包含 移动安全 服务时,此配置为移动设备管理所必需。该选项在安装 通信服务器角色 .

默认情况下, GravityZone 设置中,移动设备仅当直接连接至企业网络(通过Wi-Fi或VPN)时方可被管理。

这是因为注册移动设备时,它们被配置为连接到通信服务器设备的本地地址。

要通过互联网管理移动设备(无论其位于何处),必须为通信服务器设备配置可公开访问的地址。

为实现移动设备未连接公司网络时的管理能力,可采用以下方案:

  • 在公司网关上为通信服务器设备配置端口转发。

  • 为通信服务器设备添加额外网络适配器并分配公网IP地址。

无论采用哪种方案,都必须将通信服务器设备配置为使用外部地址进行移动设备管理:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 从主菜单中选择 MDM 通信服务器 .

  3. 选择 配置MDM服务器外部地址 .

  4. 输入外部地址。

    使用以下语法格式: https://<IP/域名>:<端口> .

    • 若使用端口转发,必须输入网关开放的公共IP地址或域名及端口。

    • 若为通信服务器设备配置公共地址,则需输入公共IP地址或域名及通信服务器端口。

      默认端口为 8443 .

  5. 选择 确定 保存更改。

  6. 选择 显示MDM服务器外部地址 可验证设置。

高级设置

高级设置包含手动部署、环境扩展及安全强化的多项选项:

选项可用性取决于已安装角色和启用的服务。例如,若设备未安装 数据库服务器 角色,则仅能安装角色或连接至网络中部署的 GravityZone 数据库。当设备完成 数据库服务器 角色安装后,连接其他数据库的选项将不可用。

安装/卸载角色

  • 数据库服务器

  • 更新服务器

  • Web控制台

  • 通信服务器

一个 GravityZone 部署需要运行每个角色的一个实例。

因此,根据 GravityZone 角色分配偏好,您将部署一至四台 GravityZone 设备。

其中 数据库服务器 角色需优先安装。

在涉及多台设备的场景中 GravityZone 设备,您将在第一台设备上安装 数据库服务器 角色,并配置所有其他设备连接到现有数据库实例。

注意

您可以使用角色均衡器安装特定角色的其他实例。

更多信息,请参阅 配置角色均衡器 .

要安装 GravityZone 角色:

  1. 从虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 从主菜单中选择 高级设置 .

  3. 选择 安装/卸载角色 .

  4. 选择 添加或删除角色 .

  5. 根据当前情况继续操作:

    • 如果这是首次部署 GravityZone 设备,请按 空格键 然后 回车键 以安装 数据库服务器 角色。

      您必须通过再次按下 Enter 键确认选择。配置数据库密码后等待安装完成。

    • 若您已部署过其他带有 数据库服务器 角色的设备,请选择 取消 并返回 添加或删除角色 菜单。

      随后您需选择 配置数据库地址 并输入数据库服务器的地址。

      访问此选项前请确保已设置数据库密码。若不知密码,可通过主菜单选择 高级设置 > 设置新数据库密码 进行配置。

      使用以下语法格式: http://<IP/主机名>:<端口> .

      默认数据库端口为 27017 。输入主数据库密码。

  6. 通过 添加或删除角色 菜单中的 安装/卸载角色 选项安装其他角色。

    针对每个需安装或卸载的角色,按下 空格键 以选择或取消选择角色,然后按 回车键 继续。

    您必须再次按 回车键 确认选择,随后等待安装完成。

注意

每个角色通常会在几分钟内安装完成。

安装过程中,所需文件会从互联网下载。因此,如果网络连接较慢,安装时间会更长。

如果安装卡住,请重新部署设备。

您可以通过从 安装/卸载角色 菜单中选择以下任一选项,查看已安装角色及其IP地址:

  • 显示本地安装的角色 ,仅查看该设备上安装的角色。

  • 显示所有已安装角色 ,查看您的 GravityZone 环境中安装的所有角色。

安装 安全服务器

注意

只有当您的许可证密钥允许时, 安全服务器 才可供使用。

您可以从 安全服务器 GravityZone 设备配置界面,直接通过 GravityZone 设备,或从 控制中心 作为独立设备安装。从设备安装 安全服务器 的优势包括:

  • 适用于 GravityZone 部署场景,即单一设备承担所有角色。

  • 您可查看并使用 安全服务器 而无需将 GravityZone 与虚拟化平台集成。

  • 需执行的部署操作更少。

前提条件:

GravityZone 设备必须已安装 数据库服务器 角色,或需配置为连接至现有数据库。

要通过设备界面安装 安全服务器

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 在主菜单中选择 高级设置 .

  3. 选择 安装 安全服务器 。将出现确认消息。

  4. 回车键 继续并等待安装完成。

注意

您只能从设备界面的 安全服务器 中卸载此 高级设置 菜单。

设置新数据库密码

安装 数据库服务器 角色时,需要设置密码以保护数据库。如需更改,请通过主菜单中的 高级设置 > 设置新数据库密码 进行修改。

cli-set-new-db-pass.png

请遵循指南设置强密码。

配置 更新服务器

默认情况下, GravityZone 设备配置为从互联网更新。

您也可以将已安装设备设置为从本地 Bitdefender 更新服务器(即安装了 GravityZone 设备的 更新服务器 角色已安装)。

要设置 更新服务器 地址:

  1. 通过虚拟化管理工具(例如vSphere Client)访问设备控制台。

  2. 从主菜单中选择 高级设置 .

  3. 选择 更新服务器 .

  4. 选择 配置更新地址 .

  5. 输入运行 更新服务器 角色的设备的IP地址或主机名。

    默认 更新服务器 端口为 7074 .

配置角色负载均衡器

为确保可靠性和可扩展性,您可以安装特定角色的多个实例( 通信服务器 , Web控制台 ).

每个角色实例需安装在不同的设备上。

特定角色的所有实例必须通过角色负载均衡器与其他角色连接。

GravityZone 设备包含内置均衡器可供安装使用。

若网络中已部署负载均衡软件或硬件,可选择使用现有方案替代内置均衡器。

内置角色均衡器不可与 GravityZone 设备上的其他角色共存安装。

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 在主菜单中选择 高级设置 .

  3. 选择 配置角色均衡器 .

  4. 选择所需选项:

    • 使用外部均衡器

      若网络基础设施中已有可用的负载均衡软件或硬件,请选择此选项。

      需为每个待均衡角色输入均衡器地址。

      使用以下语法格式:

      http(s)://<IP/主机名>:<端口> .

    • 使用内置均衡器

      选择此选项可安装并使用内置均衡器软件。

  5. 选择 确定 保存更改。

副本集

此选项可启用数据库副本集替代单服务器数据库实例。该机制支持在分布式 GravityZone 环境中创建多个数据库实例,确保故障时数据库的高可用性。

重要提示

数据库复制功能仅适用于从5.1.17-441版本开始的全新安装的 GravityZone 设备。

配置副本集

首先,您需要在首个安装的 GravityZone 设备上启用副本集功能。随后,您可以通过在其他 GravityZone 实例上安装数据库角色来添加副本集成员(需位于同一环境中)。

重要提示

  • 副本集至少需要三个成员才能正常工作。

  • 最多可添加七个数据库角色实例作为副本集成员(MongoDB限制)。

  • 建议使用奇数个数据库实例。偶数个成员只会消耗更多资源而获得相同效果。

要在您的 GravityZone 环境中启用数据库复制功能:

  1. 在首个 数据库服务器 设备上安装 GravityZone 角色。详情请参阅 安装/卸载角色 .

  2. 配置其他设备连接至首个数据库实例。详情请参阅 连接现有数据库 .

  3. 进入首个设备的主菜单,选择 高级设置 然后选择 副本集 以启用该功能。随后将出现确认信息。

  4. 选择 进行确认。

  5. 重复按ESC键关闭安装向导窗口,直至登录界面弹出。之后重新登录。

    重要提示

    此步骤必须在所有设备上完成。

  6. 在所有其他 数据库服务器 设备上安装 GravityZone 角色。

完成上述步骤后,所有数据库实例将作为副本集运行:

  • 选举出一个主实例,作为唯一可执行写入操作的节点。

  • 主实例将所有数据变更记录到日志中。

  • 从实例复制该日志并将相同变更应用到其数据集。

  • 当主实例不可用时,副本集将从从实例中选举新的主实例。

  • 若主实例超过10秒未与副本集其他成员通信,系统将尝试选举新主实例。

移除副本集成员

移除副本集成员时,只需通过设备控制台界面(基于菜单的界面) 选择安装/卸载角色 > 添加或移除角色 并取消勾选 数据库服务器 .

注意

仅当网络中至少安装四个数据库实例时,方可移除副本集成员。

启用安全VPN集群

GravityZone 角色包含多个仅内部互通的服务。为提升安全性,可通过创建VPN集群隔离这些服务。无论这些服务部署于同一设备或多个设备,都将通过安全通道进行通信。

重要提示

  • 此功能需标准版 GravityZone 部署环境,且未安装任何自定义工具。

  • 集群启用后不可禁用。

保护设备内部服务的步骤:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 从主菜单选择 高级设置 .

  3. 选择启用 安全VPN集群 .

    系统将提示您确认即将进行的更改。

  4. 选择 以确认并继续VPN安装。

    完成后将显示确认信息。

此后该设备所有角色均以安全模式运行,服务通过VPN接口通信。新增设备必须加入VPN集群。详情参见 连接现有数据库(安全VPN集群) .

连接现有数据库

GravityZone 分布式架构中,需先在首台设备安装 数据库服务器 角色,再配置其他设备连接该数据库实例,实现多设备共享同一数据库。

重要提示

建议启用安全VPN集群并连接集群内数据库。详情参阅:

要将设备连接到 GravityZone 安全VPN集群之外的数据库:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 在主菜单中选择 高级设置 .

  3. 选择 连接至现有数据库 .

    注意

    访问此选项前请确保已设置数据库密码。若不知晓密码,请通过主菜单中的 高级设置 > 设置新数据库密码 进行重置。

  4. 选择 配置 数据库服务器 地址 .

  5. 按以下格式输入数据库地址:

    <IP/主机名>:<端口>

    端口号为可选项。

    默认端口为 27017 .

  6. 输入主数据库密码。

    cli-enter-db-pass.png

  7. 选择 确定 保存更改。

  8. 选择 显示 数据库服务器 地址 以确保地址已正确配置。

连接至现有数据库(安全VPN集群)

当您需要扩展 GravityZone 部署并添加更多设备,且安全VPN集群已启用时,请使用此选项。通过此方式,新设备将以安全模式与现有部署共享同一数据库。

有关安全VPN集群的更多信息,请参阅 启用安全VPN集群 .

前提条件

开始前,请确保已准备好以下内容:

  • 数据库服务器 IP地址

  • 设备上具有 bdadmin 用户 数据库服务器 角色的密码

连接数据库

要将设备连接到 GravityZone 安全VPN集群内的数据库:

  1. 通过虚拟化管理工具(如vSphere Client)访问设备控制台。

  2. 从主菜单中选择 高级设置 .

  3. 选择 连接到现有数据库(安全VPN集群) .

    若未满足要求,系统将告知您相关需求及替代方案。

  4. 点击 确定 确认并继续。

  5. 输入 数据库服务器 在安全VPN集群中的IP地址。

  6. 输入设备上 bdadmin 用户对应 数据库服务器 .

  7. 选择 确定 保存更改并继续。

流程完成后,您将收到确认消息。新设备将成为集群成员,并以安全方式与其他设备通信。所有设备将共享同一数据库。

检查安全VPN集群状态

此选项仅当您先前已启用安全VPN集群时可用。选择此选项可检查您的 GravityZone 部署中有哪些设备尚未保护其服务。您可能需要进一步排查设备是否在线且可访问。

配置语言

更改设备配置界面语言的方法:

  1. 从主菜单选择 配置语言

  2. 从可选语言中选择目标语言,系统将显示确认消息。

    注意

    您可能需要向下滚动以查看您的语言选项。

  3. 选择 确定 以保存更改。

更改MongoDB密码

在初始设置中首次安装数据库角色时, GravityZone 设备会提示您设置MongoDB密码。

26264_1.png

若MongoDB已安装,建议修改密码——限制对关键服务器(如 Bitdefender GravityZone 数据库)的访问是防范攻击的最佳实践。

按以下步骤修改数据库密码:

  1. 使用 bdadmin 凭证登录设备CLI;

  2. 进入 高级设置 ;

    26264_2.png

  3. 选择 设置新数据库密码 ;

    26264_3.png

  4. 遵循密码要求设置新密码(长度6-32字符,需包含至少一个大写字母、一个小写字母、一个数字及一个特殊字符);

    26264_4.png

  5. 点击 确定 .

恢复数据库备份

当您的 GravityZone 实例因各种原因运行异常(更新失败、界面故障、文件损坏、报错等),可恢复 GravityZone 数据库从备份副本中恢复。

将数据库恢复到同一 GravityZone 虚拟设备

前提条件

  • 通过SSH连接到 GravityZone 设备,需使用root权限。

    您可以使用 putty bdadmin 的凭据通过SSH连接至设备,然后执行命令 sudosu 切换至 root 账户。

    注意

    作为安全措施,系统会限制访问并封禁多次认证失败时通过SSH连接任何 GravityZone 实例的IP地址。

  • 自备份以来, GravityZone 基础设施未发生变更。

  • 备份日期需晚于2017年4月30日且 GravityZone 版本高于6.2.1-30。若不符合,请联系技术支持团队。

  • 在分布式架构中, GravityZone 尚未配置为使用数据库复制(副本集)。

    要验证配置,请按照以下步骤操作:

    1. 打开 /etc/mongodb.conf文件 .

    2. 检查 replSet 是否未配置,如下例所示:

      #replSet=setname

  • 没有CLI进程正在运行。

    为确保所有CLI进程已停止,请运行以下命令:

    #killall-9perl

  • 设备上已安装 mongoconsole 软件包。

    要验证是否满足条件,请运行此命令:

    #/opt/bitdefender/bin/mongoshellrestore--version

    该命令不应返回任何错误,否则请运行:

    #apt-getupdate

    #apt-getinstall--upgrademongoconsole

恢复数据库

  1. 转到包含数据库存档的位置:

    #cd/directory-with-backup

    其中directory-with-backup是备份文件所在位置的路径。

    例如:

    #cd/tmp/backup

  2. 恢复数据库。

    /opt/bitdefender/bin/mongoshellrestore-ubd-p'GZ_db_password'--authenticationDatabaseadmin--gzip--drop--archive<'gz-backup-$YYYY-$MM-$DD(时间戳).tar.gz'

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应如下所示:

    gz-backup-2019-05-17(1495004926).tar.gz

  3. 可选操作:若需在GravityZone控制台重新下载之前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  4. 重启设备。

    数据库恢复现已完成。

从已停用的 GravityZone 虚拟设备

恢复数据库

  • 前提条件 全新的 全新安装的虚拟设备(VA),需保持与旧设备相同的IP地址且仅安装 数据库服务器 角色。您可从 GravityZone 下载VA镜像,获取地址为 此处 .

  • 通过SSH连接至 GravityZone 虚拟设备,需使用 root 权限。

    注意

    作为安全措施,系统会限制访问并封禁多次认证失败的IP地址,这些尝试可能发生在通过SSH连接任何 GravityZone 实例时。

  • 自备份完成后, GravityZone 的基础架构未发生变更。

  • 备份日期需晚于2017年4月30日。

  • 在分布式架构中,若 GravityZone 未配置使用数据库复制(副本集)。若您的 GravityZone 环境中使用了副本集,则其他设备实例上也会安装 数据库服务器 角色。

恢复数据库

重要提示

执行此操作时,请使用创建备份时所用的数据库密码。若忘记密码,请联系 Bitdefender企业技术支持 .

  1. 下载虚拟设备。

  2. 安装 数据库服务器 角色。

    有关安装 数据库服务器 角色的更多信息,请参阅 部署和设置 GravityZone 虚拟设备 .

  3. 停止VASync服务:

    #servicevasyncstop

  4. 停止CLI:

    #killall-9perl

  5. 转到包含数据库存档的位置:

    #cd/备份目录

    其中“备份目录”是指备份文件所在路径。

    例如: #cd/tmp/backup

  6. 恢复数据库:

    /opt/bitdefender/bin/mongoshellrestore-ubd-p'GZ数据库密码'--authenticationDatabaseadmin--gzip--drop--archive<'gz-backup-$年份-$月份-$DD(时间戳).tar.gz'

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应如下所示:

    gz-backup-2019-05-17(1495004926).tar.gz

  7. 通过运行以下命令测试确保您输入了正确的密码:

    mongoadmin-ubd-p'GZ_db_password'

    注意

    如果收到错误消息,请联系 Bitdefender企业支持 .

  8. 恢复设备ID:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'print(db.applianceInstalls.findOne({name:"db"}).applianceId);'--quietdevdb>/opt/bitdefender/etc/applianceid

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  9. 移除对旧角色的引用:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.applianceInstalls.remove({name:{"$ne":"db"}});'--quietdevdb

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  10. 启动VASync:

    #servicevasyncstart

  11. (可选)如需在GravityZone控制台中重新下载之前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  12. 启动CLI:

    /opt/bitdefender/eltiw/installer

  13. 安装剩余的 GravityZone 角色。

  14. 重启设备。

    数据库恢复现已完成。

使用暂存设置恢复数据库

前提条件

  • 数据库 更新服务器 角色应分别安装在不同设备上

  • 全新 GravityZone 虚拟设备安装,需保持与旧设备相同的IP地址且仅安装 数据库服务器 角色。您可从 GravityZone 官网 此处 .

  • 通过SSH连接至 GravityZone 虚拟设备,需使用 root 权限。

    注意

    出于安全考虑,系统会限制访问并封禁多次SSH连接认证失败的IP地址,该限制适用于所有 GravityZone 实例。

  • 自备份创建以来, GravityZone 基础设施未发生变更。

  • 备份日期需晚于2017年4月30日。

  • 在分布式架构中, GravityZone 未配置使用数据库复制(副本集)。若您的 GravityZone 环境中,您还需在其他设备实例上安装 数据库服务器 角色。

恢复数据库及暂存设置

请按以下步骤恢复数据库:

  1. 下载虚拟设备。

  2. 安装 数据库服务器 角色。

    有关安装 数据库服务器 角色的更多信息,请参阅 部署与设置 GravityZone 虚拟设备 .

  3. 停止VASync服务:

    #servicevasyncstop

  4. 停止CLI:

    #killall-9perl

  5. 进入包含数据库存档的目录:

    #cd/备份目录

    其中“备份目录”是指向备份文件存储位置的路径。

    例如: #cd/tmp/backup

  6. 恢复数据库:

    /opt/bitdefender/bin/mongoshellrestore-ubd-p'GZ数据库密码'--authenticationDatabaseadmin--gzip--drop--archive<'gz-backup-$YYYY-$MM-$DD(时间戳).tar.gz'

    重要提示

    请确保将 GZ_db_password 替换为 GravityZone 数据库服务器 的实际密码,并将归档文件名中的时间戳变量替换为实际日期。

    例如,实际日期应如下所示:

    gz-backup-2019-05-17(1495004926).tar.gz

  7. 通过运行以下命令测试确保您输入了正确的密码:

    mongoadmin-ubd-p'GZ_db_password'

    注意

    如果收到错误消息,请联系 Bitdefender企业支持 .

  8. 恢复设备ID:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'print(db.applianceInstalls.findOne({name:"db"}).applianceId);'--quietdevdb>/opt/bitdefender/etc/applianceid

    重要提示

    确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  9. 移除旧角色的引用:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.applianceInstalls.remove({name:{"$ne":"db"}});'--quietdevdb

    重要

    确保将 GZ_db_password 替换为 GravityZone 数据库服务器 .

  10. 启动VASync:

    #servicevasyncstart

  11. (可选)如需在GravityZone控制台重新下载之前发布的工具包,请运行以下命令:

    /opt/bitdefender/bin/mongoshell-ubd-p'GZ_db_password'--eval'db.endpointKits.update({state:{$ne:1}},{$set:{internalState:1,isProcessing:true,"applianceIds.downloaded":[],"applianceIds.published":[]}},{multi:true})'--quietdevdb

    注意

    启用此选项可能会根据您之前的更新暂存设置生成大量数据并耗时较长。

  12. 启动CLI:

    /opt/bitdefender/eltiw/installer

  13. 重启设备。

    数据库恢复现已完成。

要恢复暂存设置,请按以下步骤操作:

  1. 前往包含备份存档的位置。

  2. 复制或移动 gz-backup-staging 归档文件复制或移动到您选择的设备目录下,该设备将安装 更新服务器 角色。

    例如: /home/bdadmin/backup-staging

  3. 启动CLI:

    /opt/bitdefender/eltiw/installer

  4. 连接到先前创建的现有数据库。

  5. 安装更新服务器角色。

  6. 停止更新服务器服务:

    #servicearrakisstop

  7. 删除产品更新目录:

    #rm-rf/opt/bitdefender/var/data/products/v2

    #rm-rf/opt/bitdefender/var/data/products/bst_nix

    #rm-rf/opt/bitdefender/var/data/products/bst_nix7_update

  8. 解压 gz-backup-staging 归档文件从其保存位置:

    #tar-xvzfarchive

  9. 复制所有目录:

    #rsync-a-v-r--chown=bitdefender:bitdefender/home/bdadmin/extracted_archive_folder/opt/bitdefender/var/data/products//opt/bitdefender/var/data/products/>/home/bdadmin/rsync_output.txt

    extracted_archive_folder 替换为归档文件解压的确切位置。

    要检查进程状态,请打开 /home/bdadmin/rsync_output.txt .

  10. 确保复制过程成功完成后,启动更新服务器服务:

    #servicearrakisstart

您可以继续在数据库设备或独立设备上安装其余角色。请确保更新服务器设备上未安装其他角色。

在副本集环境中恢复数据库

若您已在副本集环境中部署数据库,可在 MongoDB在线手册 (仅英文版)中找到官方恢复流程。

注意

该流程需要高级技术能力,仅应由受过培训的工程师操作。如遇困难,请联系 技术支持 协助恢复数据库。

为Active Directory组用户启用权限提升

按以下步骤配置 GravityZone 设备,允许Active Directory用户以root权限登录配置界面。

配置设备主机名和域名

Active Directory(AD)技术依赖正确的DNS名称。因此请确保 GravityZone 虚拟设备已正确配置主机名和域名。

配置主机名设置:

  1. 通过虚拟化管理工具(如vSphere Client)访问 GravityZone 虚拟设备控制台。

  2. 从主菜单中选择 配置主机名设置 .

  3. 输入设备主机名及Active Directory域名。

  4. 选择 确定 保存更改。

  5. 配置完成后重启设备。

安装所需软件包

本流程使用Samba实现Active Directory集成。因此需要安装以下软件包: 

# apt-get install krb5-user winbind samba ntp

配置Kerberos

按以下示例修改/etc/krb5.conf文件: 

[logging]
        default = FILE:/var/log/krb5.log

[libdefaults]
        default_realm = EXAMPLE.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

[realms]
        EXAMPLE.LOCAL = {
                kdc = adserver.example.local
                admin_server = adserver.example.local
                default_domain = EXAMPLE.LOCAL
        }

[domain_realm]
        .adserver.example.local = EXAMPLE.LOCAL
        adserver.example.local = EXAMPLE.LOCAL
        .kerberos.server = EXAMPLE.LOCAL
[login]
        krb4_convert = true
        krb4_get_tickets = false

配置Samba

按以下示例修改/etc/samba/smb.conf文件: 

[global]
        log file = /var/log/samba/log.%m
        max log size = 1000
        security = ADS
        realm = EXAMPLE.LOCAL
        password server = 192.168.1.2
        workgroup = EXAMPLE
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = true
        winbind use default domain = yes
        restrict anonymous = 2

配置名称服务切换

按以下示例修改/etc/nsswitch.conf文件: 

passwd:         compat  winbind
group:          compat  winbind
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

配置NTP守护进程

将时间同步服务器更改为AD服务器。按以下示例修改/etc/ntp.conf: 

...
server dc.example.local
...

停止NTP守护进程: 

# service ntp stop

强制时间同步: 

# ntpdate dc.example.local

重启NTP守护进程: 

# service ntp start

配置PAM

在Ubuntu 12.04 LTS及更新版本中, winbind 软件包会自动完成大部分配置。但仍需设置以下非默认选项以支持登录功能:

在/etc/pam.d/common-session和/etc/pam.d/sshd文件中添加以下配置行: 

session    required    pam_mkhomedir.so    skel=/etc/skel/ umask=0022

重启winbind服务 

service winbind restart

将设备加入域 

# net ads join -U Administrator@EXAMPLE.LOCAL

重新配置SSH守护进程

确保SSH守护进程允许除 root : 

...
# 认证设置:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
...

这将同时解除对 bdadmin .

配置sudo权限

使用命令 visudo 为特定组启用权限提升。例如: 

%vcservicesadmin ALL=(ALL) ALL

现在您可以通过SSH使用域用户连接 GravityZone 设备: 

$ ssh EXAMPLE\\jdoe@gz.example.local

系统将自动创建 主目录 ,且该用户若属于正确组别,将可获得 root 权限。

GravityZone 虚拟设备中运行文件系统检查

文件系统检查操作(fsck)可用于检查和修复Linux文件系统。例如当您的 GravityZone 虚拟设备(VA)实例无法启动或陷入无限启动循环时,可使用此操作。

从屏幕左上角的菜单中选择您要使用的方法。

GravityZone 虚拟设备

先决条件

  • 需具备虚拟机控制台级别的访问权限(通过您的虚拟机管理软件提供)以操作 GravityZone 虚拟设备。

  • Ubuntu 24.04( 桌面版实时ISO镜像 ),您可从 此处 .

  • 在虚拟机管理软件中为 GravityZone 虚拟设备挂载Ubuntu 24.04实时镜像。

通过挂载的Ubuntu 24.04镜像执行离线文件系统检查

  1. 打开您的虚拟机管理软件。

  2. 关闭 GravityZone 虚拟设备。

  3. GravityZone 虚拟设备创建快照。

  4. 将Ubuntu 24.04实时镜像挂载至 GravityZone 虚拟设备。

  5. 从Ubuntu镜像启动 GravityZone 虚拟设备并选择 尝试或安装Ubuntu 当提示出现时。Ubuntu启动完成。

    boot_ubuntu_op_68464_en.png

  6. 在Ubuntu桌面环境中,点击屏幕顶部的搜索栏并开始输入 终端 .

    ubuntu_terminal_op_68464_en.png

  7. 打开终端并运行以下命令: sudosu ls/dev/mapper

  8. 识别 GravityZone 虚拟设备的系统磁盘。可查找以下名称: gzva-root , gzva-data , gz-data gz-root .

  9. 运行以下命令执行文件系统检查: fsck–f-y/dev/mapper/gzva-root 本示例中我们使用 gzva-root ,如下图所示。

    filesystem_check_example_op_68464_en.png

    若操作过程中出现错误,系统将弹出确认对话框。对所有fsck提问均选择

  10. 文件系统检查完成后,重启 GravityZone 虚拟设备(不包含Ubuntu镜像),并检查设备是否成功启动。

如果文件系统检查无法修复错误,建议您从数据库备份中恢复 GravityZone 虚拟设备。更多信息请参阅 恢复数据库备份 .

本节内容 :