干货写在前面,EDR 3.5.36版本一些逻辑分享:1. 3.5.36版本,需要开启p2p模式下载的安装包才可以作为种子服务器(开启了p2p模式,下载的安装包安装过程中才会有fget进程,未开启p2p模式下载的安装包,安装过程中是调用sfuptate进程,无fget进程); 3.5.36版本,非种子服务器暂不支持升级为种子服务器;2. 3.5.36版本,p2p模式不支持自定义种子服务器IP地址,即p2p模式不支持全量包等方式,必须要客户端自动连接MGR的p2p服务,自动注册; 3.5.36版本,p2p模式p2p传输逻辑,是种子服务器安装的时候,会上报自己的IP地址及掩码,由p2p服务注册为p2p种子服务器,并记录IP地址和掩码。在p2p服务收到新的安装请求时,会根据安装请求时上报的IP地址(终端IP地址,非NAT后IP地址),返回终端同网段的p2p服务器种子地址,并在末尾添加MGR平台地址做保底。所以这里逻辑上需要给每一个网段推送一部分种子,评估要满足内网请求需要30-50个种子服务器;3. 3.5.36版本,p2p传输比例,一个种子服务器可以提供5个连接请求,一个安装程序会占用3个请求,即种子服务器和安装程序需满足3:5的比例,才可以满足p2p需求。超出部分会从MGR请求资源; 3.5.36版本,p2p模式一个安装程序下载速率预计为2MB/s(注意是大B);客户为加强终端防护,采购深信服EDR产品(3.5.30版本)做终端防护。预计需要部署终端5000台,部署范围遍布全国,分散在100个工厂。每个分支含有互联网和IPsec隧道两条线路。客户现网环境有AD域控环境和桌面管理软件,沟通采用桌面管理软件进行静默推送。客户现网采用卡巴斯基杀软做安全防护,卡巴斯基软件授权预计2022年11月中旬过期,客户要求2022年11月中旬前完成部署。 客户拓扑如下所示,: 二、 项目计划项目启动会沟通,9月20日-9月30日,完成桌管推送安装测试,并采集相关报错,汇总到问题管理表。 10月8日正式开始推送,第一周500点,第二、三周2000点,第四、五周2500点,按计划进行。
三、 测试阶段测试阶段是在总部推送测试,存在一些和桌管兼容问题,已处理。
四、 开始推送国庆结束后开始推送,客户选择了成都工厂开始推送,(200点,出口带宽100M,SDWAN隧道10M),考虑带宽资源有限,升级EDR版本3.5.36版本,开启p2p模式。 在推送p2p安装包的时候存在以下问题:(可以被下载的agent叫做种子服务器(种子服务器会开启80端口用来传输资源),种子服务器和普通agent的区别在于是否在MGR注册了种子服务器信息、是否含有fget\data\*数据)
开始的时候没有考虑带宽的问题,直到推送分支机构,安装一个agent(2MB=16mb)就会占满客户带宽,影响业务!!!
好了事情到这里就很绝望,公网推全量包,也占用大量带宽; 最开始p2p方案,按客户100个工厂,每个工厂3个网络,工作量巨大,而且p2p测试推送失败(后续定位到具体原因); ----------------------------------------------------------------------------------------------------- 实在想不到办法,找广大群友咨询,有一个朋友提出这样一种思路: 每个分支部署共享文件夹,分支内部通过桌管软件推送bat脚本实现批量推送。
方案已同步客户,待测试。。。
未完待续~ | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-21 14:39
工程师3级 
