【虚拟化轻代理】轻代理与椒图共存的处理建议

戴红昌发表于:2020年09月16日 10:51:41更新于:2020年09月16日 17:06:16

以下为轻代理与椒图共存的兼容性测试报告:

对于轻代理B17H08之前的版本,轻代理与椒图存在兼容性问题,如果一定要装,需要确保在安装虚拟化之前先装椒图,或者安装椒图前不要打开虚拟化的文件系统实时防护开关。


对于轻代理B17H08及以后的版本,可以与椒图共存,遵循以下步骤部署共存场景(步骤次序需要完全遵守):

  1. 下载轻代理B17H08中控安装包和Linux共存补丁包备用,下载地址参见:https://tac.qianxin.com/hc/kb/article/1297129/

  1. 备份轻代理中控资料

    登录管理中心web页面,地址为https://管理中心IP://8443,进入系统配置 系统工具 数据备份与恢复页面,进行管理中心配置的备份及下载。


    image2020-9-2_11-16-49.png?version=1&modificationDate=1599016609000&api=v2



  2. Linux客户端上打上Linux共存补丁包:

    由于该补丁包涉及到暂时规避虚拟化和椒图之间的兼容性问题,故需一台台打上补丁并查看补丁包执行回显来确认是否正常打成功,操作步骤如下:

    a. 上传虚拟化补丁包Linux-Agent-hotfix-20200828.bin到linux主机端后台,执行md5sum验证补丁包完整性

    image2020-9-2_11-19-1.png?version=1&modificationDate=1599016741000&api=v2

    b. 确认包完整性无误后,赋予其执行权限,并进行执行

    image2020-9-2_11-19-19.png?version=1&modificationDate=1599016759000&api=v2

    c. 执行结束后出现含有 “Exec XXX Success” 信息提示即为执行成功

    image2020-9-2_11-19-44.png?version=1&modificationDate=1599016784000&api=v2

    d. 其他异常回显场景备注:

    在未部署虚拟化轻代理linux客户端的情况下,执行补丁包回显如下,该执行不会对虚拟机有任何影响。

    image2020-9-2_11-20-8.png?version=1&modificationDate=1599016808000&api=v2

  3. 在轻代理中控网页上关闭Linux实时防护功能:
    a. 检查所有 主机策略 分组策略 ,以确保linux实时防护被关闭
    image2020-9-2_11-22-38.png?version=1&modificationDate=1599016958000&api=v2
    b. 检查所有自定义的 主机策略 ,以确保linux实时防护被关闭
    image2020-9-2_11-23-16.png?version=1&modificationDate=1599016997000&api=v2

  4. 管理中心覆盖升级到B17H08

    a. 上传B17H08覆盖升级安装包:hsmp_V7.0T01R01P004U2B17H08.bin管理中心后台,赋予其执行权限,sudo ./执行。

    整个覆盖升级过程大约需要10-15min,请耐心等待。

    b. 升级过程中后台会持续打印升级日志,查看日志中是否有error或者fail报错,如有报错,请联系奇安信工程师,当日志中打印到Complete!时,即升级成功。

    image2020-9-2_11-24-37.png?version=1&modificationDate=1599017078000&api=v2
    c. 进入/opt/qihu360/hsmp目录,执行supervisorctl查看控制中心主要程序运行状态是否正常,如下RUNNING状态表示正常,可以登录中控web页面

    d. 进入管理中心web页面,查看管理中心的版本是否升级为B17H08

    image2020-9-2_11-26-22.png?version=1&modificationDate=1599017183000&api=v2

    e. 进入管理中心 系统配置 授权管理 页面,查看授权使用和升级前是否一致,如有授权显示异常请联系奇安信工程师。
    f. 进入管理中心 主机管理 升级管理 全网主机 页面,查看主机是否都正常在线,如有主机异常离线请联系奇安信工程师

  5. 升级Linux、windows主机端程序

    管理中心覆盖升级检查无误后,可以开始linux、winodws主机端升级主程序,建议采用灰度升级,即优先升级少量非重要的主机群组(建议灰度的操作系统可以适当丰富),待观察一段时间(建议按周观察5天左右)没有发现异常再进行全部升级。
    手动升级页面:主机管理 升级管理 全网主机。

    image2020-9-2_11-28-13.png?version=1&modificationDate=1599017293000&api=v2

    灰度升级配置页面:系统配置 系统设置 设置详情,系统设置的灰度仅支持一次灰度,灰度一次后全部升级。建议生产环境中按照手动分组多次灰度执行,慢慢放量,而非使用该设定一次完成。

  6. 升级成功后重启linux虚拟机
    linux虚拟机主程序升级成功后,需要重启linux虚拟机。如果没有重启,主要表现在linux实时防护不可用,若重启前打开了linux实时防护开关,有极高概率出现虚拟机宕机的可能

  7. 特征库升级

    查看主机正常后,选择指定主机进行特征库更新升级,特征库升级建议采用灰度升级,即优先升级少量非重要的主机,升级后观察业务是否有影响,待观察正常后,再做大批量升级

    手动升级页面:主机管理 升级管理 全网主机
    image2020-9-2_11-29-52.png?version=1&modificationDate=1599017393000&api=v2

    灰度升级页面:灰度升级配置页面:系统配置 系统设置 设置详情
    image2020-9-2_11-30-25.png?version=1&modificationDate=1599017425000&api=v2