| 华途电子文档安全管理系统 | |
| 5.3.1000 | |
| 安装部署手册 | |
| 浙江华途信息安全技术股份有限公司 |
第一章 系统概述
1.1 产品概述
随着电子信息化程度的不断提高,政府军工、企事业单位等各类组织机构越来越多地利用计算机来处理一些机密信息,加强交流、方便沟通的同时增加了信息的非法泄密及内部越权使用等安全风险。传统电子文档几乎不受任何权限限制,明文存放、随意阅读、修改、复制、打印或分发等,纵观近年来国内外数据泄露事件,互联网接入单位由于内部重要机密通过网络途径泄露而造成重大损失的事件中,99%都是由于内部泄密行为导致的。《中华人民共和国网络安全法》及《中华人民共和国数据安全法》明确地对个人隐私数据和国家重要数据提出了保护要求,把网络信息和数据安全上升到国家战略层面。
面对源自企业内部的安全威胁以及法律法规的严格要求,基于防止外部入侵窃密和内部无意泄密需求的华途电子文档安全管理系统应势而生。
华途电子文档安全管理系统(Document Security Management System,简称Vamtoo-DSM)是华途信息自主研发的通用文档安全管理软件,从核心数据本身、数据交互、移动办公、移动介质、终端外设等多场景多维度全面保障文档安全,通过灵活的策略管控体系,基于人工智能的丰富管控手段,来满足客户不同场景的安全管控需求,防止敏感数据泄露,落实数据安全具体条例要求,轻松应对审查及行业规范要求。
华途电子文档安全管理系统采用动态文档透明加密技术、虚拟化技术、深度内容识别技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,对重要数据进行精细化细粒度管理。
1.2 产品功能
(1) 实时透明加密
采用应用层和驱动层相结合的加密技术,集应用层的安全性与驱动层的稳定性于一体,实现对任意文档实时智能透明加密,毫不改变用户使用习惯。加密文档未经授权许可,离开指定环境无法使用,确保受控文件安全无忧。
(2) 客户端自我防护
提供客户端安装目录保护及进程保护,实时在线监控客户端状态,杜绝用户卸载客户端后进行非法操作。
(3) 用户权限管理
特定文档可设置对不同用户的操作权限,如阅读、编辑、打印、解密、授权等多级权限管理,方便政企事业单位信息精细化管理。
(4) 文档安全域控制
根据业务单元范围,对文档进行安全域隔离管理,确保文档在特定范围内使用,防止核心数据信息泄露。
(5) 系统日志审计
系统提供完整的日志管理,可记录详尽的文件日志、管理日志、登录日志、违规记录等各类日志,确保文件操作的可追溯性。
(6) 身份认证集成
系统支持与基于 Ldap 和 OpenLdap 协议的统一身份认证平台进行无缝集成,实现组织架构及账号信息的自动完整同步。
(7) 自定义审批流程
支持多业务、多级、指定代理审核人等各类自定义审批流程,保证审批机制切实可行、高效便捷。
(8) 反截屏控制
可防止当前市场上所有截屏软件进行截屏操作,防止客户端通过截屏进行数据泄密。
(9) 穿透压缩包操作
可穿透压缩包对压缩包内的所有文件进行加解密。
(10) 监控指定目录设置
可监控指定的目录,并且对该目录下的文件自动批量加解密
(11) 文件打印快照
支持打印时文件快照上传,防止用户打印时通过伪装文件名打印,躲避审计。
(12) 离线办公支持
充分考虑出差等各类离线办公等因素,可通过策略预设及离线补时等功能满足各类离线办公需求。
(13) 邮件白名单解密
实现用户通过Outlook/Foxmail客户端发送邮件,发送者邮箱地址/接收者邮箱地址在邮件白名单内,发送邮件,附件自动解密。
(14) 数据安全中间件
采用了先进的中间件技术,可方便、快速地与企事业单位其他业务系统无缝对接,赋予业务系统数据加密、数据解密、权限控制、文件内容防复制、防截屏、浮水印、打印控制等数据安全能力。在不影响用户操作习惯,不改变客户网络框架的前提下,解决业务系统的数据安全问题,有效保障数据资产安全。
(15) 终端防泄漏模块
扫描并发现终端上的敏感信息分布和不当存储,监控用户对敏感信息的使用并进行实时保护(如复制敏感信息到U盘等可移动存储上,通过QQ、微信、个人邮箱外发敏感信息等,或者将其发至网盘、BBS等公共互联网),排除数据从终端泄露的风险。
1.3 系统体系结构
系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式,服务器采用B/S工作模式,客户端采用C/S工作模式。组件的通信采用HTTP/HTTPS加密传输方式。
- 服务器:安装在专业的数据服务器上,包括数据库安装、文件服务器安装、缓存服务器安装、DSM产品安装。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。灵活的实现对文件的加解密和用户权限的划分。
- 客户端:安装在受保护的终端计算机上,实时监控客户用户行为和安全状态。实现客户端安全策略管理。
- 控制台:基于Web的人机交互界面,简单易懂的操作界面。通过安全认证建立与服务器的信任连接,实现策略的制定下发和管理。
1.4 推荐硬件需求
如华途电子文档安全管理系统-服务器配置要求文档。
100用户以内,建议4核16G内存;
100-1000用户,建议4核32G内存;
1000-3000用户,建议8核64G内存;
3000-5000用户,建议10核128G内存;
5000以上用户,建议分布式部署,10核128G内存。
1.5 系统支持列表
| 服务器 | centos7以上系统,支持内核3.10以上;支持64位操作系统。 redhat7系统;支持64位操作系统。 |
| 客户端 | Microsoft Windows7(Professional/Enterprise/Ultimate) Micosoft Window 10(Enterprise) Micosoft Window 11 Micosoft Window xp |
1.6 防火墙开放端口
安装电子文档安全管理系统,建议关闭防火墙安装,若不关闭,请开放以下端口
| 服务端开放端口 | 22、9090、9091、9092、9093、9094、9444、9445、8761、3306、6379、22122、23000、27017、9095 |
第二章 服务器安装环境准备
本方案将Tomcat、MySql等应用以及依赖打包,安装到了轻量级、可移植的Docker容器中,并发布到 Liunx(本方案为Centos7系统)机器上。Docker容器环境要求centos内核版本3.10、redhat内核3.10以上(内核版本查看方法见Docker安装),需要依赖包vim、tar、unzip。
服务器安装部署分五种情况:
- 单机安装部署:服务器部署在一台服务器;
- 自定义分布式部署:将相关服务、应用部署在不同的服务器;
- 双机热备部署:两台服务器做热备部署;
- 负载均衡部署:支持admin、api、wensocket、file、center、incident(数据防泄漏独有)等6个模块做负载均衡。
- 负载均衡+热备部署:数据中心(tomcat_schedule、tomcat_eureka、redis、fastdfs、mysql、mongodb)热备,和应用模块(tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident)的负载均衡。
2.1 支持的部署环境
服务器部署可分两个场景,不同场景可使用不同的安装部署方法:
- 场景一:对操作系统具体版本无严格要求,使用华途定制镜像,支持虚拟化和物理机部署;
- 场景二:对操作系统版本有严格要求(例如:要求只能安装centos7.4系统或者redhat7系统);
2.2 无操作系统版本要求,使用华途定制镜像安装准备
2.2.1 操作系统安装
说明:物理机或虚拟化部署使用定制化操作系统安装部署方案。使用华途提供的镜像安装包进行操作系统安装(该镜像文件包括:操作系统centos7.7、docker、unzip、vi),系统安装后已启动docker服务、防火墙默认开启所需端口。
2.2.1.1 定制化操作系统安装
获取到服务器操作系统安装包镜像文件” DSMOS_1.0_r13.iso”(备注:该操作系统为centos7.7系统,且已安装docker),进行操作系统的安装。
进入DSMOS安装系统启动界面,如下图所示:
进入安装信息界面,选择“安装位置”
点击“安装位置”,进入磁盘选择界面,选择磁盘,勾选“自动配置分区”,并点击“完成”
回到安装信息界面,点击“开始安装”
开始进行系统安装
系统安装完成,点击“重启”
系统重启完成,进入系统(系统账号:root 密码:123456)
2.2.1.2 设置网卡信息
1、进入系统,输入操作系统账号密码(系统账号:root 密码:123456)
备注:建议修改系统密码,方便客户自己对密码进行管理。
在命令行中输入:passwd //进行密码修改(输入新的密码)
再次输入确认密码,如下图所示
密码修改成功。
2、修改网卡信息
在命令行输入:cd /etc/sysconfig/network-scripts/ //进入网卡目录
在命令行输入:ls //查看所有网卡
选中网卡,在命令行输入:vi ifcfg-ens33 //编辑网卡
(备注:选择正在使用的网卡进行修改。其中“ifcfg-ens33”为网卡名称)
进入网卡信息编辑页面,修改网卡信息
BOOTPROTO=static //将dhcp改为static
ONBOOT=yes //将no改为yes
IPADDR=172.16.23.18 //增加IPADDR、NETMASK、GATEWAY、DNS配置
NETMASK=255.255.255.0
GATEWAY=172.16.23.1
DNS1=114.114.114.114
编辑完成,按“ESC”按钮,再输入:wq 保存退出编辑页面。
3、重启网卡
在命令行中输入:service network restart
网卡重启成功,如下图所示:
4、修改系统时间
在命令行输入:date //查看系统时间
在命令行输入:date -s "2021-1-22 19:10:30" //修改系统时间(例如date -s 当前互联网时间)
在命令行输入:hwclock --show //查看硬件时间
在命令行输入:hwclock --set --date "2021-1-22 19:10:30" //修改硬件时间
在命令行输入:hwclock --hctosys //同步系统时间和硬件时间
在命令行输入:clock -w //保存时钟
在命令行输入:init 6 //重启系统,系统时间已被修改
5、开启端口(数据防泄漏产品需另加上2个端口,加密产品此步骤可以忽略)
firewall-cmd --zone=public --add-port=27017/tcp --permanent
firewall-cmd --zone=public --add-port=9095/tcp --permanent
开启防火墙相关端口后,重启防火墙,命令:systemctl restart firewalld
iptables -S //查看端口情况,保证红色的端口都是开放
2.3 有操作系统版本要求,centos7标准安装准备
2.3.1 操作系统安装
说明:对操作系统有严格要求,采用标准操作系统安装部署方案(大型企业要求在自己操作系统上安装部署,例如:要求只能安装centos7.2系统)
标准操作系统安装:(备注:建议在“有外网环境”下进行安装),适用于客户需安装特定的centos7版本操作系统的场景,或者无法使用“定制化操作系统镜像包”进行安装的场景。
2.3.1.1 标准操作系统安装
安装centos7.0系统及以上版本,且系统内核要求3.10以上(具体标准操作系统安装方法不做具体介绍:安装标准centos7以上操作系统并设置网卡信息)。
(备注:建议在有“外网环境”下进行安装)
2.3.1.2 Docker安装
Docker安装分两个场景,场景不同可使用不同的安装部署方法:
- 场景一:有外网,则使用docker在线安装方法;
- 场景二:无外网,则使用docker离线安装方法。
选择一种方法进行安装即可。
2.3.1.2.1 Docker在线安装
- 查看liunx内核版本,docker仅支持3.10版本以上的内核。命令:uname -r
- 关闭selinux,注意一定要执行
sed -i "s/^SELINUX=.*/SELINUX=disabled/g" /etc/selinux/config //设置selinux
cat /etc/selinux/config //查看配置,已经被disable
- 关闭防火墙或防火墙开放端口,选择一种方式即可:
- 关闭防火墙,命令:systemctl stop firewalld
开启防火墙,命令:
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=9090/tcp --permanent
firewall-cmd --zone=public --add-port=9091/tcp --permanent
firewall-cmd --zone=public --add-port=9092/tcp --permanent
firewall-cmd --zone=public --add-port=9093/tcp --permanent
firewall-cmd --zone=public --add-port=9094/tcp --permanent
firewall-cmd --zone=public --add-port=9095/tcp --permanent
firewall-cmd --zone=public --add-port=9444/tcp --permanent
firewall-cmd --zone=public --add-port=9445/tcp --permanent
firewall-cmd --zone=public --add-port=8761/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --zone=public --add-port=6379/tcp --permanent
firewall-cmd --zone=public --add-port=22122/tcp --permanent
firewall-cmd --zone=public --add-port=23000/tcp --permanent
firewall-cmd --zone=public --add-port=27017/tcp --permanent
以上命令都是逐条执行,不要复制一起执行,否则报错很难排查
开启防火墙相关端口后,重启防火墙,命令:systemctl restart firewalld
iptables -S //查看端口情况,保证红色的端口都是开放 对liunx依赖包以及内核进行更新。命令:yum update
检查依赖包:unzip是否已安装,命令:rpm -q unzip(显示如下图,则表示已安装unzip,无需再执行安装unzip操作)
若未安装,则安装依赖包unzip,安装命令:yum install –y unzip(已有unzip依赖包则跳过该步骤)
完成安装docker。命令:yum -y install docker
Docker安装完成。检查依赖包:vim是否已安装,命令:rpm -qa|grep vim(显示如下图,则表示已安装vim,无需再执行安装vim操作)
若未安装,则安装依赖包vim,安装命令:yum -y install vim*(已有vim依赖包则跳过该步骤)
vim安装完成后,修改docker相关配置,selinux-enabled加=false。
命令:vi /etc/sysconfig/docker
添加docker启动参数文件daemon.conf
进入到/etc/docker目录下面,新建daemon.conf文件,输入下面文本内容
cd /etc/docker/ #进入/etc/docker目录
vi daemon.conf #新建参数文件daemon.conf
{"registry-mirrors":["http://hub-mirror.c.163.com"],"storage-driver":"devicemapper"}
启动docker,命令:service docker start
然后查看docker是否成功启动,命令:ps -ef|grep docker
至此,docker安装完成。
2.3.1.2.2 Docker离线安装
- 查看liunx内核版本,docker仅支持3.10版本以上的内核。命令:uname -r
- 关闭selinux,注意一定要执行
sed -i "s/^SELINUX=.*/SELINUX=disabled/g" /etc/selinux/config //设置selinux
cat /etc/selinux/config //查看selinux设置成功
- 关闭防火墙或防火墙开放端口,选择一种方式即可:
- 关闭防火墙,命令:systemctl stop firewalld
开启防火墙,命令:
firewall-cmd --zone=public --add-port=22/tcp --permanent
firewall-cmd --zone=public --add-port=9090/tcp --permanent
firewall-cmd --zone=public --add-port=9091/tcp --permanent
firewall-cmd --zone=public --add-port=9092/tcp --permanent
firewall-cmd --zone=public --add-port=9093/tcp --permanent
firewall-cmd --zone=public --add-port=9094/tcp --permanent
firewall-cmd --zone=public --add-port=9095/tcp --permanent
firewall-cmd --zone=public --add-port=9444/tcp --permanent
firewall-cmd --zone=public --add-port=9445/tcp --permanent
firewall-cmd --zone=public --add-port=8761/tcp --permanent
firewall-cmd --zone=public --add-port=3306/tcp --permanent
firewall-cmd --zone=public --add-port=6379/tcp --permanent
firewall-cmd --zone=public --add-port=22122/tcp --permanent
firewall-cmd --zone=public --add-port=23000/tcp --permanent
firewall-cmd --zone=public --add-port=27017/tcp --permanent
以上命令都是逐条执行,不要复制一起执行,否则报错很难排查
开启防火墙相关端口后,重启防火墙,命令:systemctl restart firewalld
iptables -S //查看端口情况,保证红色的端口都是开放 检查依赖包:
unzip是否已安装,命令:rpm -q unzip(显示如下图,则表示已安装unzip,无需再执行安装unzip操作)
若未安装,则“unzip-6.0-19.el7.x86_64.rpm”上传至opt目录下,安装依赖包unzip。
①进入opt目录:cd /opt
②执行unzip安装命令:rpm -ivh unzip-6.0-19.el7.x86_64.rpm
- 将“docker-18.03.1-ce.tgz”上传至opt目录下,安装docker。
①进入opt目录:cd /opt
②执行解压命令:tar -zxvf docker-18.03.1-ce.tgz
③将解压出来的 docker 文件所有内容移动到 /usr/bin/ 目录下,执行移动文件命令:cp docker/* /usr/bin/
④开启 docker 守护进程,执行命令:
sudo /usr/bin/dockerd &
⑤测试是否安装成功
执行命令:docker --version
执行命令:docker ps -a
⑥注册系统服务
执行命令:vi /usr/lib/systemd/system/docker.service # 创建docker.service文件,并添加如下内容
[Unit]
Description=Docker Application Container Engine
Documentation=http://docs.docker.com
After=network.target
[Service]
Type=notify
NotifyAccess=main
EnvironmentFile=-/run/containers/registries.conf
EnvironmentFile=-/etc/sysconfig/docker
EnvironmentFile=-/etc/sysconfig/docker-storage
EnvironmentFile=-/etc/sysconfig/docker-network
Environment=GOTRACEBACK=crash
Environment=DOCKER_HTTP_HOST_COMPAT=1
Environment=PATH=/usr/libexec/docker:/usr/bin:/usr/sbin
ExecStart=/usr/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
LimitNOFILE=1048576
LimitNPROC=1048576
LimitCORE=infinity
TimeoutStartSec=0
Restart=on-abnormal
KillMode=process
[Install]
WantedBy=multi-user.target
⑦重载服务与开机自启
执行命令:systemctl daemon-reload # 重载服务
执行命令:systemctl enable docker.service # 开机自启动
2.4 有操作系统版本要求,redhat7标准安装准备
说明:对操作系统有严格要求,采用标准操作系统安装部署方案(大型企业要求在自己操作系统上安装部署,例如:要求只能在redhat系统上部署服务器,且离线安装)
备注:内部测试通过版本: Red Hat Enterprise Linux Server release 7.4 (Maipo)
内核版本:3.10.0-693.el7.x86_64
redhat系统上安装准备步骤 同centos系统上安装,参考2.2.3.2.2中的docker离线安装
2.5 在redhat7环境上做热备部署准备
若是公司镜像,已内含keepalived,不需要执行此步骤。
但仍然还是建议用公司配置的操作进行热备安装,keepalived安装依赖环境非常严重
使用VMware Workstation ,右击需要进行双机热备的虚拟机,点击设置。
若是物理机安装,将镜像拷贝到U盘,通过优盘挂载。
2.选择CD/DVD驱动器——使用ISO映像文件,将redhat镜像挂载。勾选设备状态——已连接、启动时连接
进入虚拟机,输入命令:mount /dev/cdrom /mnt,将镜像挂载到mnt目录下
输入命令:cd /mnt/Packages/,进入目录
安装脚本依赖,输入命令:
rpm -ivh --nodeps --force net-snmp-agent-libs-5.7.2-28.el7.x86_64.rpm net-snmp-libs-5.7.2-28.el7.x86_64.rpm net-snmp-utils-5.7.2-28.el7.x86_64.rpm lm_sensors-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm lm_sensors-devel-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm lm_sensors-libs-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm perl-Data-Dumper-2.145-3.el7.x86_64.rpm perl-libs-5.16.3-292.el7.x86_64.rpm keepalived-1.3.5-1.el7.x86_64.rpm
Keepalived --version
执行命令查看版本,能查看表示安装keepalived成功
第三章 服务器单机安装
本方案将Tomcat、MySql、Mongodb等应用以及依赖打包,安装到了轻量级、与主机隔离更加安全的Docker容器中,并发布到 Liunx 机器上。
3.1 上传产品安装包
获取到“服务器安装包”,并将服务器安装包上传至服务器任意目录(如home)下
1、检测磁盘空间:
执行命令:df -h
选择空间不少于50G的挂载点作为安装目录。如图安装目录home(默认安装目录是home)下,剩余磁盘空间82G,符合安装的空间大小要求。
2、进入产品安装包目录,命令:cd /home
3.2 解压产品安装包
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
在home目录下执行解压命令:tar -zxvf DsmServer-5.3.1000.r4.tar.gz
解压成功,得到文件夹:dsmServerPackage5.3.1000
输入命令:cd dsmServerPackage5.3.1000 //进入dsmServerPackage5.3.1000目录下
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage5.3.1000目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
3.3 安装目录修改
若不需要修改安装目录,请忽略此步骤。
默认安装在home中,若因为home空间不够,或者其他地方比home空间更大,可以手动修改安装目录。
vi dsmServer.conf //编辑配置文件
配置文件修改其中的WORKERROOT节点,将默认的home目录改成实际需要安装的目录,如root下。
vi命令,shift I 键输入,编辑完后,ESC键退出,shfit冒号键 wq保存。
3.4 加密产品安装
安装命令:./setup.sh -i //执行安装
按照提示,输入yes即可。The server address will be set as above,continue(yes/no):yes(服务器IP地址确认无误,输入yes)
The server memory will be set as above,continue(yes/no):yes(服务器内存确认无误,输入yes,回车)
安装完成之后,终端上提示: Install success (安装成功)
服务启动中,请访问[http://10.10.0.84:8761]查看服务启动进度
若服务器初始化后选择使用mongodb作为日志存储数据库,需进行##3.5章节的安装,即需要高级安装mongodb和tomcatIncident模块。
详见##3.5章节。
3.5 数据防泄漏产品安装
若不需要数据防泄漏产品,请忽略此步骤。
基于##3.4章节后,补装防泄漏模块。若不需要数据防泄漏模块,忽略此步骤。
cd /dsmServerPackage5.3.1000/ //进入dsmServerPackage5.3.1000目录下
./setup.sh --advancedInstall //使用高级安装命令
选择防泄漏模块,即Mongodb和tomcat_incident。根据对应服务器硬件配置条件选择incident模块的内存大小。
配置大小查看dsmServerPackage5.3.1000中的dsmServer.conf文件。
cat dsmServer.conf
询问是否单机安装yes或no的选择标准:热备选择no,其他场景均选择yes。
备注:安装完成后,可以手动删除dsmServerPackage5.3.1000解压包。
3.6 安装完成
至此,产品安装完成,可在浏览器访问服务器IP+8761(例如10.10.0.84:8761)访问查看各模块是否启动完成。如下图所示,共有8个模块。
注:模块启动大概需要5分钟,耐心等待,刷新页面即可。
注意:其中VAMTOO-DSM-INCIDENT-CENTER为数据防泄漏产品特有。若没有3.5步骤(数据防泄漏产品安装)的安装,此模块不显示。
3.7 导入许可
各模块启动完成,在浏览器访问服务器网址:(本机IP),如图。将申请码发送给销售人员制作加密狗或者软许可文件。插入加密狗或导入许可文件后会切换到正常的登录页面。https://10.10.0.84:9444/dsm/
备注:
管理控制台端在导入许可时,必须统一版本才能导入,即产品产品为5.3就必须导入5.3的许可。产品升级时,如从5.3升级到5.4后,会检测到许可无效,由销售或者技术申请产品版本为5.4的许可
- DSM5.3.1000产品,许可版本选择3.0(不勾选:热备版),根据实际情况选择是否是热备版本; 制作申请的时候需注意DES、ODC、DRM、UES、MTS、TDLP、DDLP、DES_受控程序可编辑、LIC_NUM、DES_SDD等所有产品版本均为5.3版本;
- 若需要数据防泄漏功能,选择TDLP(一个终端占用一个TDLP点数);
- 如需扫描解密功能:许可必须包含DES(SDD)解密许可,才能正常使用扫描解密功能。许可DES(SDD)申请点数:1个即可。
- 如需“程序配置自主管理”(即:可在“电子文档管理系统”后台进行程序配置编辑):许可必须包含DES受控程序配置可编辑许可,才能在“电子文档安全管理系统”后台编辑管理程序配置。许可DES受控程序可编辑,申请点数:1个即可。
- 若需分类分级功能,许可必须包含DDLP许可,才能正常使用分类分级功能,即落地或扫描客户端文件并打上对应的分类分级标签。
- 新增一条许可数量检测LIC_NUM许可。制作许可时只要1点即可。
该许可对于产品功能本身没有控制作用,仅检测当前服务器任一单产品点数是否超过50点。
a. 任一单点许可大于等于51,有这个许可才可导入。无该许可导入失败,提示:当前许可无效,请联系厂商制作含有LIC_NUM的许可!
b. 产品许可点数均小于等于50时,有无该许可都可正常导入。
3.8 服务器初始化
导入软许可或者读取到硬许可服务器激活后,直接进入服务器初始化页面。分为1、初始化界面(公司LOGO、首页图片、设置背景色、选择日志存储数据库);2、初始化原始数据(防泄漏应用程序、数据字典、文件类型、数据标识符)。初始化界面选择完成,点击保存设置后,进入初始化数据界面。
备注:不通配置的服务器初始化时间存在差异,请耐心等待。产品名称不显示出来(5.3.1001)
1、初始化界面,如下图所示:
2、初始化数据界面,如下图所示:
初始化结束后,点击关闭按钮即可,此时就可以登录管理控制台。
3.9 成功登录管理控制台
完成 DSM5.3.1000服务器授权导入后,通过浏览器访问电子文档安全管理系统控制台,例如输入如下地址(本机IP),如https://10.10.0.84:9444/dsm/,进入web登录界面如下图所示:
截止到当前步骤,服务器已安装成功。
备注:假设客户端连接9092失败,其他端口正常,
解决如下:
1.服务器修改/etc/hosts文件,添加当前服务器ip 空格 +主机名称
2.修改保存文件后执行
service network restart
docker restart tomcat_websocket
第四章 双机热备安装部署
4.1 场景说明
服务器可能存在断网断电等异常情况,导致所有客户端无法正常连接到服务器,影响正常业务的运行。避免此种情况建议使用双机热备安装部署,当一台服务器异常时另外一台服务器接替可以业务正常进行,做到数据的高可靠性。
4.2 双机热备部署架构
双机热备环境的操作系统,需要基于DSMOS_1.0_r13.iso中操作(备注:使用定制化操作系统,内已包含keepalived)或者已经安装了keepalived的redhat7操作系统。
4.3 含数据防泄漏产品双机热备安装
基于公司定制镜像,或者redhat7镜像安装。基础环境的准备参考第二章。
4.3.1 整体安装流程
4.3.2 keepalived安装(redhat镜像下执行,公司镜像不需要执行此步骤)
若是公司镜像已内含keepalived,不需要执行此步骤。
说明:两台都要执行,一台搞好,再操作另一台。
场景一:redhat上离线安装keepalived
使用VMware Workstation ,右击需要进行双机热备的虚拟机,点击设置。
2.选择CD/DVD驱动器——使用ISO映像文件,将redhat镜像挂载。勾选设备状态——已连接、启动时连接 进入虚拟机,输入命令:mount /dev/cdrom /mnt,将镜像挂载到mnt目录下
输入命令:cd /mnt/Packages/,进入目录
安装脚本依赖,输入命令:
rpm -ivh --nodeps --force net-snmp-agent-libs-5.7.2-28.el7.x86_64.rpm net-snmp-libs-5.7.2-28.el7.x86_64.rpm net-snmp-utils-5.7.2-28.el7.x86_64.rpm lm_sensors-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm lm_sensors-devel-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm lm_sensors-libs-3.4.0-4.20160601gitf9185e5.el7.x86_64.rpm perl-Data-Dumper-2.145-3.el7.x86_64.rpm perl-libs-5.16.3-292.el7.x86_64.rpm keepalived-1.3.5-1.el7.x86_64.rpm
Keepalived --version
执行命令查看版本,能查看表示安装keepalived成功
场景二:有外网的情况下安装keepalive
使用yum -y install keepalived命令
4.3.3 检查时间,保证两台服务器时间一致
若两台服务器时间不一致,使用热备过程中,服务器记录的所有时间可能不
准确。若两台服务器时间一致,则忽略该步骤。
备注:修改系统时间需要在安装dsmServer之前操作。
在A、B服务器输入命令:
date //查看时间
date -s "2021-7-31 21:51:50" //时间分别设置为当前系统时间
hwclock --systohc //时间写进系统中
date //查看系统时间是当前时间正确
4.3.4 上传安装包并解压
举例安装在home目录下。将安装包放在home下。
且两台真机ip分别为:
A服务器:10.10.0.86
B服务器: 10.10.0.88
将要虚拟ip:10.10.0.89
所有的ip互相ping得通。同网段。
tar -zxvf DsmServer-5.3.1000.r4.tar.gz //解压包,两台同样的操作
4.3.5 配置运行keepalived,启用虚拟ip
(1)在A、B服务器上分别如下操作
cd /home/dsmServerPackage5.3.1000/script/Hot-standby //进入目录
ls //查看
chmod 755 dsm* //赋予权限
(2)A服务器上
cd /home/dsmServerPackage5.3.1000/script/Hot-standby //进入目录
./dsmHA -e //执行命令
ifconfig //查看虚拟地址
cd /etc/keepalived //进入keepalived配置文件
vi keepalived.conf //加上红色标的内容,直接复制下来的内容,注意其中的数字89,为设置的路由ID,根据实际情况变化。
global_defs {
router_id 89
}
(3)B服务器上任意路径上执行命令:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby //进入目录
./dsmHA -e //执行命令
且按照提示输入虚拟ip和虚拟路由id信息(备注:输入的虚拟ip和虚拟路由id与A服务器输入内容一致)。
备注:在虚拟ip绑定的服务器--输入重启keepalived服务命令,则虚拟ip会飘到另外一台服务器上
cd /etc/keepalived //进入keepalived配置文件
vi keepalived.conf //加上红色标的内容,直接复制下来的内容, 注意其中的数字89,为设置的路由ID,根据现场设置的值改变。上下都有一行空行的,注意一下哦。
global_defs {
router_id 89
}
在A服务器上执行systemctl restart keepalived
在B服务器上执行ifconfig //可以查看到B服务器上有虚拟ip飘着
4.3.6 执行安装dsmServer的Mysql、FastDFS、Redis、Mongodb模块
(需关注虚拟ip是否在本机上)
(1)ifconfig 命令查看虚拟ip在哪台上,当前在A服务器上,则在A上安装。
当前在B上,则在B安装。
本文当前在B服务器上。
若虚拟ip不在B服务器上,则在A服务器上执行命令systemctl restart keepalived
在B服务器上操作,需保证虚拟ip在B服务器上。
进入安装目录,执行命令:
cd /home/dsmServerPackage5.3.1000/
./setup.sh --advancedInstall
选择虚拟ip的序号2,地址也都输入虚拟ip。
选择0 1 2 3 这四个模块进行高级安装。
等待安装,安装完成之后,多等一会。
在B服务器执行命令:systemctl restart keepalived
B服务器执行命令后,在A服务器执行ifconfig,确定虚拟ip绑定在A服务器上。
(2)在A服务器上执行同样的操作:
需保证虚拟ip在A服务器上
cd /home/dsmServerPackage5.3.1000/
./setup.sh --advancedInstall
等待安装,提示安装完成后,再等一会。
4.3.7 配置运行mysql数据库热备
说明:此步骤不用关注虚拟ip在哪台服务器
(1)在A服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMysqlHA -e1
按照提示给A服务器设置数据库编号为1
(2)在B服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMysqlHA -e1
按照提示给B服务器设置数据库编号为2,设置数据库标号时保证A和B服务器编号不一致即可。
(3)在A服务器上执行第二步命令:./dsmMysqlHA -e2
按照提示输入B服务器的真实ip以及B服务器设置的数据库信息的基准文件名称和基准位置。
(4)在B服务器执行第二步命令:./dsmMysqlHA -e2
按照提示输入A服务器的真实ip以及A服务器设置的数据库信息的基准文件名称和基准位置。
此时A和B服务器的数据库热备已设置成功。
4.3.8 配置运行mongodb数据库热备
加密产品不需要进行mongodb数据库热备,忽略跳过此步骤。
(1)在A服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMongoDBHA -i
按照提示输入本机ip、另一台ip、虚拟ip。
(2)在B服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMongoDBHA -i
按照提示输入本机ip、另一台ip、虚拟ip。
(3)ifconfig分别查看虚拟ip当前在哪台上,虚拟ip所在的那台为主机。
(4)以上可以看到,ifconfig查看到当前A为主机,现场若是B也没事,在B上执行./dsmMongoDBHA -sm。
意思是一定要在主机上执行命令./dsmMongoDBHA -sm
(5)ifconfig查看到当前B为备机。
意思是要在备机上执行命令./dsmMongoDBHA -sb
若./dsmMongoDBHA -sb执行后出现错误。
在另外一台上,即A服务器上执行命令
iptables -I IN_public_allow -p tcp -m tcp --dport 27017 -m conntrack --ctstate NEW -j ACCEPT
然后再在B上再执行一次./dsmMongoDBHA -sb
4.3.9 追加安装dsmServer的tomcat所有模块
说明:追加安装时需要保证虚拟ip在当前服务器上。以虚拟ip在A服务器为例(使用ifconfig命令查看),则在A服务器上执行追加安装操作。
服务器A上执行安装
注意:虚拟ip在A服务器(使用ifconfig命令查看),则在A服务器上执行升级安装操作。
(1)进入目录
cd /home/dsmServerPackage5.3.1000/
(2)进入安装包解压后的目录,执行安装升级命令:
./setup.sh --advancedInstall
备注:
- 追加安装过程中,根据产品输入需要的tomcat模块的编号。
- Tomcat各个模块分配的内存需要手动输入,具体的内存分配参考配置文件的建议值,格式如2G、500M,其他均输入yes。
- 若安装过程中选了Incident模块,安装过程中询问是否单机安装,当前属于双机热备,因此输入no。
- 安装过程较慢,耐心等待。
注意:在A服务器追加安装成功后,耐心等待,在web页面显示有导入许可文件且显示A服务器的申请码后再执行下一步操作。若长时间没有跳转到导入许可文件页面,则说明服务器安装失败。
一定要等一会,页面上显示出A服务器的地址和申请码。
地址 https://10.10.0.89(虚拟ip地址):9444/dsm/
(3)重启keepalived服务
在A服务器输入重启keepalived服务命令:
systemctl restart keepalived
(说明:在A服务器执行命令后,在B服务器执行ifconfig,确定虚拟ip绑定在B服务器上。)
(4)服务器B上执行安装
注意:虚拟ip在B服务器(使用ifconfig命令查看),则在B服务器上执行高级安装操作。
cd /home/dsmServerPackage5.3.1000/
./setup.sh --advancedInstall
4.3.8 成功访问管理控制台
AB两台安装后,耐心等待,启动过程比较慢。
特别说明:使用虚拟ip地址访问web页面
在浏览器中输入地址, 跳转到许可激活页面,显示有两个申请码,如图:https://10.10.0.89:9444/dsm
应该有两台ip地址。
若有异常,先耐心等待,若出现其中的ip不显示,在不显示的那台上执行命令:
iptables -I IN_public_allow -p tcp -m tcp --dport 9094 -m conntrack --ctstate NEW -j ACCEPT
docker restart tomcat_license
备注:
- DSM5.3.1000许可文件,许可版本选择3.0(不勾选:热备版),根据实际情况选择是否是热备版本;
制作申请的时候需注意DES、ODC、DRM许可必须为5.3版本才可激活;
若需要数据防泄漏功能,选择TDLP(一个终端占用一个TDLP点数);
许可中有不符合的版本项均会导入失败。 - 如需扫描解密功能:许可必须包含DES(SDD)解密许可,才能正常使用扫描解密功能。许可DES(SDD)申请点数:1个即可。
- 如需“程序配置自主管理”(即:可在“电子文档管理系统”后台进行程序配置编辑):许可必须包含DES_受控程序配置可编辑许可,才能在“电子文档安全管理系统”后台编辑管理程序配置。许可DES_AppConf申请点数:1个即可。
- 若需分类分级功能,许可必须包含DDLP许可,才能正常使用分类分级功能,即落地或扫描客户端文件并打上对应的分类分级标签。
4.4 验证双机热备是否良好
ifconfig命令查看虚拟ip飘在哪台上,假设此时飘在A服务器上(表明当前A在后台工作);
拔掉A服务器的网线或者关机A服务器(模拟热备服务器其中的A服务器异常或宕机),访问到管理控制台检查数据(当前B接替A服务器在后台工作),下载一个之前审批通过的文件(这个文件是之前A服务器工作时的数据)测试,可以正常下载到;查看之前的防泄漏事件可以查看到。
再次发起一个新流程审批如解密流程1(当前是B服务器在工作),流程审批通过数据可以正常下载到;新生成一个防泄漏事件,审计中心中可以查看到。A服务器连网或者开机(恢复)后,再次访问到管理控制台检查数据,测试解密流程1,文件仍然可以被下载到;新生成的防泄漏事件仍然可以查看到。
从而证明,双机热备服务器,当其中一台服务器宕机或异常以后,不影响服务器的正常运行。
4.5 注意事项
热备安装时,需要基于DSMOS_1.0_r13.iso中操作,或者安装了keepalived的redhat上操作。且两台服务器的防火墙不能关闭(防火墙关闭状态无法进行热备环境部署操作)
热备安装前,服务器的系统时间需要保持一致(时间不一致会导致日志的操作时间等显示不一致)
热备安装时,需要保证虚拟ip没有被使用,且虚拟ip与两台真实服务器的ip在同一个网段(使用ping命令及arp -a命令查看,若ping不通且使用arp -a命令没有显示虚拟ip的mac地址则证明该ip没有被使用)
热备安装时,安装项目时需要选择虚拟ip的序号进行安装
热备安装时,第一台服务器安装成功后,先使用虚拟ip登录web页面,显示审批码后再切换虚拟ip安装另一台(否则会导致center模块一直无法启动)
若在内网环境下安装成功项目后,再将服务器连通外网,则邮箱设置及从云配置导入配置一直提示失败(需要将服务器手动重启或重启docker)
双机热备环境部署完毕后,需要手动修改客户端连接地址的ip为虚拟ip
文件服务器列表的ip显示为虚拟ip和另一台真实服务器的ip
偶现:部分服务器关机一段时间,再开机后,虚拟ip自动飘到该服务器,端口及服务都正常运行,不影响正常使用
使用过程中,在发起流程时,虚拟ip所在的服务器挂掉,将无法发起该流程,需要刷新页面重新登录后才能正常使用
使用过程中,若审批通过但文件还没有处理成功时,虚拟ip所在的服务器挂掉,则该流程正在处理的文件将处理失败,一直显示正在处理
手动更新下发组件时,若还没有下发成功时,虚拟ip所在的服务器挂掉,则不会再次下发,且更新记录显示一直都是0%
第五章 负载均衡安装部署
5.1 场景说明
大量客户端同时与服务器交互时,造成单台服务器资源压力过大。为了减轻与解决业务的并发压力建议负载均衡安装部署。负载均衡服务器(如nginx服务器)通过某种调度算法将流量分配到不同的文档安全管理系统服务器上,做到高可用性。
5.2 负载均衡说明
5.3.1000服务器实现的负载均衡模块有:admin、api、wensocket、file、center、incident(incident数据防泄漏产品需要,加密不需要)6个模块(另说明其他模块schedule、license、eurka、redis、mysql、fastdfs、mongodb作为数据中心,不能负载,可考虑数据热备)。
5.4 负载均衡部署架构
5.4 安装环境要求
1、举例:安装两台服务器。
A服务器设置ip地址为:10.10.0.86(全安装:即安装所有模块);
B服务器设置ip地址为:10.10.0.88(安装tomact_admin、api、websocket、file、center、incident(incident数据防泄漏产品需要,加密不需要,根据实际情况做选择)等模块);
使用nginx实现admin、api、wensocket、file、center、incident(incident数据防泄漏产品需要,加密不需要)等个模块在A\B服务器的负载均衡。
2、保证两台服务器时间和nginx服务器时间一致
备注:修改系统时间需要在安装dsmServer之前操作。
举例:A、B服务器时间不一致,将A服务器的时间改为B服务器时间,来保持服务器时间一致:
在A服务器输入命令:
date --set="$(ssh root@B服务器IP地址 date +"%H:%M:%S")"
然后,A服务器的时间就会修改为与B服务器时间一致。
3、两台制作许可时,使用同样的狗号密钥。
5.4.1 A服务器安装
A服务器设置ip地址为:10.10.0.86(全安装:即安装所有模块);
进入服务器解压包内,执行命令:
./setup.sh -i //一键安装
./setup.sh ./setup.sh --advancedInstall //若含有数据防泄漏产品,高级安装mongodb、incident模块。若是加密产品,不需要执行此步。
以上详见第三章。
安装以后需导入许可激活产品。
5.4.2 B服务器安装
B服务器设置ip地址为:10.10.0.88,安装tomact_admin、api、websocket、file、center、incident(数据防泄漏产品需要,加密不需要)等模块;
./setup.sh ./setup.sh --advancedInstall //选择tomact_admin、api、websocket、file、center、incident模块的序号,若加密产品,incident不选择。终端防泄漏产品一定要输入incident模块的序号。
注意:安装时,fastdfs、mysql、redis、eureka、mongodb的地址,输入的是这几个模块所在的实际地址,本方案是A服务器地址。
询问是否安装单机安装,输入yes。
5.5 nginx环境搭建
部署操作系统要求:在centos7上进行nginx部署
5.5.1 安装make
yum -y install gcc automake autoconf libtool make //安装make
make -v //查看make版本,保证make已经安装完成
5.5.2 安装g++
yum -y install gcc gcc-c++ //安装gcc等
gcc -v //查看gcc版本,保证gcc已经安装完成
5.5.3 选定安装文件目录
可以选择任何目录,选择进入该目录: cd /usr/local/src
5.5.4 安装PCRE库
下载最新的 PCRE 源码包,使用下面命令下载编译和安装 PCRE 包。
cd /usr/local/src //进入安装文件目录
》wget https://netix.dl.sourceforge.net/project/pcre/pcre/8.40/pcre-8.40.tar.gz //有下载好的组件可以提供,下载PCRE
》tar -zxvf pcre-8.40.tar.gz //解压
》cd pcre-8.40/
》./configure
》make
》make install
》pcre-config --version //查看版本
5.5.5 安装zlib库
下载最新的 zlib 源码包,使用下面命令下载编译和安装 zlib包zlib
》cd /usr/local/src
》wget http://zlib.net/zlib-1.2.11.tar.gz
》tar -zxvf zlib-1.2.11.tar.gz
》cd zlib-1.2.11/
》./configure
》make
》make install
5.5.6 安装openssl(某些vps默认没装ssl)
》cd /usr/local/src
》wget https://www.openssl.org/source/openssl-1.0.1t.tar.gz //有下载好的组件可以提供,下载openssl
》tar -zxvf openssl-1.0.1t.tar.gz
》yum -y install openssl openssl-devel
5.5.7 安装nginx
下载nginx安装包 //已经下载好安装包nginx-1.14.0.tar.gz,可提供nginx
》ls
》tar -zxvf nginx-1.14.10.tar.gz
》cd nginx-1.14.0
》./configure
》make
》make install
5.5.8 启动nginx
》/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf //启动nginx
》ps -ef|grep nginx //查看nginx进程
》systemctl stop firewalld.service //关闭防火墙
若不想关闭防火墙,需开启同dsm服务器一致的端口。
以上,浏览器访问http://nginx ip即可
5.5.9 添加证书
参考:https://www.cnblogs.com/php-no-2/p/11276323.html
5.5.10 添加负载均衡策略
两台电子文档安全管理系统服务器最大实现负载admin、api、websocket、file、center、incident等6个模块的负载均衡,需要添加nginx的配置,如图(nginx.conf配置文件可以提供请下载,在知识库中),但要将配置中的ip地址修改为现场实际地址。图中举例红色websocket配置,绿色admin,api模块同理admin)。
nginx.conf配置从知识库中nginx.conf配置屋文件。
》vi /usr/local/nginx/conf/nginx.conf
》cd /usr/local/nginx/sbin
》./nginx -s reload //重启ngnix
支持已完成admin、api、wensocket、file、center、incident等模块的负载均衡。访问时用 nginx 地址访问到电子文档安全管理系统的web端。https://nginx地址:9444/dsm
5.6 修改客户端连接设置
访问https://10.10.0.80:9444/dsm/,修改ip或域名地址为nginx所在的地址即可。
第六章 热备+负载均衡部署
6.1 场景说明
第四章已经阐述双机热备可以做到数据中心的高可靠性,第五章阐述负载均衡可以做到高可用性。单纯的双机热备部署后台同时只有一台在运行,仍然会造成单台服务器的资源压力;单纯的负载均衡又无法保证数据的高可靠性。此时建议热备+负载均衡部署,既能满足数据中心高可靠性,又能满足各应用模块资源压力。
6.2 部署架构
6.3 安装环境要求
举例:
- 已安装好两台服务器基础环境(安装DSMOS_1.0_r13.iso镜像或安装了docker、keepalived的redhat7环境,参考第二章),数据中心进行热备,分别部署在A服务器172.16.23.18和B服务器172.16.23.237,且设置vip为172.16.23.180。
- 应用服务器进行负载均衡,分别部署在:
C服务器:IP地址---10.10.0.84
D服务器:IP地址---10.10.0.90。
最终负载在nginx服务器10.10.0.80上。
注意:
(1)两台热备的服务器防火墙需开启(公司镜像本身默认就是开启,不要人为关闭);
(2)两台热备的服务器ip同网段且所有ip不能冲突;
(3)所有服务器之间通讯正常。
6.4 执行安装
数据中心热备的两台服务器,若是公司镜像不需要准备。若是redhat7参考第二章,需在上面安装docker、keepalived等。 两台应用服务器,若是公司镜像不需要准备。若是redhat7参考第二章,需在上面安装docker等。
6.4.1 热备安装
6.4.1.1 配置运行keepalived,启用虚拟ip
在A、B服务器上分别如下操作
cd /home/dsmServerPackage5.3.1000/script/Hot-standby //进入目录
ls //查看
chmod 755 dsm* //赋予权限
A服务器上执行操作 cd /home/dsmServerPackage5.3.1000/script/Hot-standby //进入目录
./dsmHA -e //执行命令
ifconfig //查看虚拟地址
cd /etc/keepalived //进入keepalived配置文件
vi keepalived.conf //加上红色标的内容,直接复制下来的内容,注意其中的数字89,为设置的路由ID,根据实际情况变化。
global_defs {
router_id 89
}
在B服务器上执行步骤2,与在A服务器上操作内容一致。
在A服务器上输入命令:systemctl restart keepalived,执行重启keepalived服务,此时虚拟ip飘到了B服务器上。
(备注:在虚拟ip绑定的服务器--输入重启keepalived服务命令,则虚拟ip会飘到另外一台服务器上)
6.4.1.2 高级安装dsmServer的Mysql、FastDFS、Redis、Mongodb模块
说明:在高级安装dsmServer前,需要保证虚拟ip绑定在当前服务器。以下步骤以虚拟ip初始绑定在A服务器为例。
在服务器A上执行安装
(1)检测磁盘空间:
执行命令:df -h
安装目录home下,剩余磁盘空间不小于50G
(2)进入安装脚本目录,命令:cd /home/dsmServerPackage5.3.1000
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
(3)进行高级安装
输入高级安装命令:./setup.sh --advancedInstall
注意:安装服务器前查看虚拟ip是否在A服务器上,使用ifconfig命令显示有172.16.23.180(若虚拟ip不在A服务器上,则在B服务器上执行命令systemctl restart keepalived)。执行高级安装命令时获取到真实ip和虚拟ip地址,选择虚拟ip序号进行安装。
等待安装完成。
(5)重启keepalived
在A服务器执行命令:systemctl restart keepalived
A服务器执行命令后,在B服务器执行ifconfig,确定虚拟ip绑定在B服务器上。
在服务器B上执行安装
(1)查看虚拟ip是否在服务器B,若虚拟ip不在服务器B,则在服务器A执行命令:systemctl restart keepalived
A服务器执行命令后,在B服务器执行ifconfig,确定虚拟ip绑定在B服务器上。
(2)执行操作与在服务器A高级安装dsmServer的Mysql、FastDFS、Redis、Mongodb模块一致,不再赘述。
6.4.1.3 配置运行数据库热备
说明:此步骤不用关注虚拟ip在哪台服务器
1、在A服务器上执行命令:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMysqlHA -e1
按照提示给A服务器设置数据库编号为1
2、在B服务器上执行命令:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMysqlHA -e1
按照提示给B服务器设置数据库编号为2,设置数据库标号时保证A和B服务器编号不一致即可。
3、在A服务器上执行第二步命令:./dsmMysqlHA -e2
按照提示输入B服务器的真实ip以及B服务器设置的数据库信息的基准文件名称和基准位置。
4、在B服务器执行第二步命令:./dsmMysqlHA -e2
按照提示输入A服务器的真实ip以及A服务器设置的数据库信息的基准文件名称和基准位置。
此时A和B服务器的数据库热备已设置成功。
6.4.1.4 配置运行mongodb数据库热备
此步骤演示中,A服务器为10.10.0.86,B服务器为10.10.0.88,虚拟ip为10.10.0.89,请修改为现场对应的ip地址。
- 在A服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMongoDBHA -i
按照提示输入本机ip、另一台ip、虚拟ip。 - 在B服务器:
cd /home/dsmServerPackage5.3.1000/script/Hot-standby
./dsmMongoDBHA -i
按照提示输入本机ip、另一台ip、虚拟ip。 - ifconfig分别查看虚拟ip当前在哪台上,虚拟ip所在的那台为主机。
- 以上可以看到,ifconfig查看到当前A为主机,现场若是B也没事,在B上执行./dsmMongoDBHA -sm。
意思是一定要在主机上执行命令./dsmMongoDBHA -sm - ifconfig查看到当前B为备机。
意思是要在备机上执行命令./dsmMongoDBHA -sb
若./dsmMongoDBHA -sb执行后出现错误。
在另外一台上,即A服务器上执行命令
iptables -I IN_public_allow -p tcp -m tcp --dport 27017 -m conntrack --ctstate NEW -j ACCEPT
然后再在B上再执行一次./dsmMongoDBHA -sb
6.4.1.5 追加安装dsmServer的tomcat_schedule、tomcat_eureka、tomcat_license模块
说明:升级安装时需要保证虚拟ip在当前服务器上
在服务器A上执行追加安装
注意:虚拟ip在A服务器(使用ifconfig命令查看),则在A服务器上执行追加安装tomcat_schedule、tomcat_eureka、tomcat_license模块。
1、执行命令:cat cat /home/dsmServerPackage5.3.1000/dsmServer.conf
查看不同内存下,各模块建议分配的内存大小(执行高级安装时,建议参照推荐大小内存进行填写分配)
2、进入安装包解压后的目录,执行安装升级命令:./setup.sh --advancedInstall
(备注:追加安装过程中,需要输入tomcat_schedule、tomcat_eureka、tomcat_license模块的编号,并且各个模块分配的内存需要手动输入,格式如2G、500M,其他均输入yes。)
注意:需要输入各个模块的分配内存,最好依照dsmServer.conf文件中推荐的大小进行分配(图片中websocket模块分配的比较小)
在服务器B上执行追加安装
(1)查看虚拟ip是否在服务器B,若虚拟ip不在服务器B,则在服务器A执行命令:systemctl restart keepalived
A服务器执行命令后,在B服务器执行ifconfig,确定虚拟ip绑定在B服务器上。
(2)执行操作与在服务器A追加安装dsmServer的tomcat_schedule、tomcat_eureka、tomcat_license模块一致,不再赘述。
安装完成后在应用服务器C和D进行下述操作。
6.4.2 应用服务器负载
6.4.2.1、服务器C上执行安装
在C服务器(IP地址:10.10.0.84),高级安装tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident模块。
1、上传产品安装包
获取到“服务器安装包”,并将服务器安装包DsmServer-5.3.1000.r4.tar.gz上传至/home目录下
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
2、检测磁盘空间:
执行命令:df -h
安装目录home下,剩余磁盘空间不小于50G
3、进入产品安装包目录,并解压产品安装包
cd /home
在home目录下执行解压命令:tar -zxvf DsmServer-5.3.1000.r4.tar.gz
解压成功,得到文件夹:dsmServerPackage5.3.1000
输入命令:cd dsmServerPackage5.3.1000 //进入dsmServerPackage目录下
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
5、执行高级安装
(1)、执行命令:cat dsmServer.conf
查看不同内存下,各模块建议分配的内存大小(执行高级安装时,建议参照推荐大小内存进行填写分配)
(2)、进入安装包解压后的目录,执行安装升级命令:./setup.sh --advancedInstall
(备注:追加安装过程中,需要输入tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident模块的编号,并且各个模块分配的内存需要手动输入,格式如2G、500M,其他均输入yes。)
执行命令:./setup.sh --advancedInstall //执行安装
说明:在安装时,如图,设置
Input FastDFS address:172.16.23.180(虚拟IP)
Input Mysql address:172.16.23.180(虚拟IP)
Input Redis address:172.16.23.180(虚拟IP)
Input Eureka address:172.16.23.180(虚拟IP)
Input MongoDB address:172.16.23.180(虚拟IP)
注意:需要输入各个模块的分配内存,最好依照dsmServer.conf文件中推荐的大小进行分配
6.4.2.1、服务器D上执行安装
在D服务器(IP地址:10.10.0.90),高级安装tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident模块。
1、上传产品安装包
获取到“服务器安装包”,并将服务器安装包DsmServer-5.3.1000.r4.tar.gz上传至/home目录下
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
2、检测磁盘空间:
执行命令:df -h
安装目录home下,剩余磁盘空间不小于50G
3、进入产品安装包目录,并解压产品安装包
cd /home
在home目录下执行解压命令:tar -zxvf DsmServer-5.3.1000.r4.tar.gz
解压成功,得到文件夹:dsmServerPackage5.3.1000
输入命令:cd dsmServerPackage5.3.1000 //进入dsmServerPackage目录下
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
5、执行高级安装
(1)、执行命令:cat dsmServer.conf
查看不同内存下,各模块建议分配的内存大小(执行高级安装时,建议参照推荐大小内存进行填写分配)
(2)、进入安装包解压后的目录,执行安装升级命令:./setup.sh --advancedInstall
(备注:追加安装过程中,需要输入tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident模块的编号,并且各个模块分配的内存需要手动输入,格式如2G、500M,其他均输入yes。)
执行命令:./setup.sh --advancedInstall //执行安装
说明:在安装时,如图,设置
Input FastDFS address:172.16.23.180(虚拟IP)
Input Mysql address:172.16.23.180(虚拟IP)
Input Redis address:172.16.23.180(虚拟IP)
Input Eureka address:172.16.23.180(虚拟IP)
Input MongoDB address:172.16.23.180(虚拟IP)
注意:需要输入各个模块的分配内存,最好依照dsmServer.conf文件中推荐的大小进行分配
6.5 nginx服务器上进行配置
在nginx服务器10.10.0.80上,设置nginx.conf配置,将ip修改为应用服务器的地址即可。如图。然后重启nginx即可。
至此数据中心(tomcat_schedule、tomcat_eureka、redis、fastdfs、mysql、mongodb)热备,和应用模块(tomcat_admin、 tomcat_websocket、tomcat_file、tomcat_center、 tomcat_api、tomcat_incident)的负载完成。
6.6 成功访问管理控制台
使用nginx地址访问到web,制作热备许可激活服务器系统。https://nginx地址:9444/dsm
许可导入成功,成功进入管理控制台。
6.7 修改客户端连接设置
访问https://10.10.0.80:9444/dsm/,修改ip或域名地址为nginx所在的地址即可。
第七章 磁盘扩容
7.1 场景说明
电子文档安全管理系统服务器长期运行后,数据和文件积累后数据量非常大,导致服务器剩余容量不够,此时就需要磁盘扩容。
备注:无论是真机还是虚拟机,将服务器关机后,添加好磁盘。再开机执行7.2的扩容操作。只适用于公司镜像
本方案适合硬件磁盘扩容和虚拟机添加磁盘(SCSI)的场景。
7.2 磁盘扩容操作
1、在浏览器输入网址 ,进输入默认账号密码(账号:admin;密码:admin),成功登录管理控制台。https://10.10.1.45:9444/dsm/
进入“系统设置”-“文件服务器列表”查看磁盘剩余容量。
扩容前:
2、将服务器关机,物理机环境直接接入扩容的硬盘。若是虚拟机,进入设置-添加硬盘,完成硬盘的添加。磁盘添加完成后,再开启服务器。
添加完磁盘,使用命令fdisk -l,查看磁盘情况:
备注:以下操作使用ssh连接(直接在系统上操作,提示语是中文,显示乱码,使用ssh连接显示正常,方便操作)
3、任意路径输入dsmExpandHD
4、输入硬盘序列1
4、根据提示输入目标目录列表,本测试服务器默认安装的home目录下,因此输入2。
备注:如果服务器不是安装在home目录下,则输入1,后续按照提示进行。
5、根据提示,按回车键。
6、扩容成功后,web上显示的磁盘大小也会相应显示出剩余容量增多。
第八章 修改服务器IP地址
8.1 场景说明
由于环境或其他原因服务器地址需要修改IP地址,直接修改地址就需要手动修改配置文件而且修改的配置散落各个模块,操作起来非常麻烦。使用提供的命令设置网卡信息,操作简单方便。
两个命令:
dsmServerTool -s //设置网卡信息
dsmServerTool -m //进行配置更新操作
8.2 修改服务器IP地址操作
1、修改网卡信息
在命令行输入:dsmServerTool -h //查看帮助说明
在命令行输入:dsmServerTool -s //设置网卡信息
在命令行输入:dsmServerTool -m //进行配置更新操作
提示“修改配置完成”,则完成所有配置修改。
2、服务器IP修改完成,可在浏览器访问服务器IP+8761(例如10.10.1.45:8761)访问查看各模块修改IP后是否启动完成。如下图所示,所有模块均显示。
注:模块启动大概需要3-5分钟,刷新页面即可。
备注:修改IP后,申请码会变化(定时任务40分钟,可能出现不会即时变化),许可需要重新申请。硬狗不影响可以继续用。
3、成功登录管理控制台
第九章 服务器备份还原
9.1 场景说明
场景1、服务器迁移:备份当前服务器数据库与文件,重新安装一台新服务器,还原到新服务器。
场景2、重装服务器:备份当前服务器数据库与文件,重新安装当前服务器,还原到当前服务器。
整体流程是:老服务器数据库备份、文件备份。到新服务器上还原数据库、还原文件。
9.2 数据库(mysql)备份与还原
数据库备份与还原支持两种方式(二选一):
方式一:通过Navicat for mysql工具进行数据库备份与还原;
方式二:通过命令进行数据库备份与还原
9.2.1 Navicat for mysq数据库备份与还原
1、备份数据库
步骤1、打开工具,创建与老服务器的mysql连接
创建成功后,左侧列表可以看到创建的连接,双击后可以看到dsm数据库,如图:
步骤2、双击dsm数据库,图标会由灰色变成绿色, 右击dsm数据库->转储SQL文件,在弹出的对话框选择路径保存即可。
2、还原数据库
注意:若是还原到本机,即场景2。还原数据库前,为了数据的完整性,已经备份出文件(操作文件备份步骤)
步骤1、如果数据库中已存在空的dsm数据库,右击删除掉,重新创建一个; 如果数据库中没有dsm数据库,直接创建一个。 (dsm数据库的删除与创建如下图)
步骤2、还原数据库:右击dsm->运行SQL文件,选择备份的数据库文件,运行(看文件大小,一般执行比较久,30分钟以上)
9.2.2命令方式进行数据库备份与还原
1、备份数据库
指令如下:
》docker exec -it mysql /bin/bash
》mysqldump -uroot -p dsm>dsm20201021.sql
》docker cp mysql:/dsm20201021.sql /home
2、还原数据库
通过scp -r /dsm20201021.sql root@新服务器IP:/home/(路径根据安装选择)将老服务器备份出来的/dsm20201021.sql放入到新服务器指定目录下,然后执行还原。
执行指令如下:
》docker cp dsm20201021.sql mysql:/
》docker exec -it mysql /bin/bash
》mysql -uroot -p
》use dsm;
》source /dsm20201021.sql
执行下一步前用exit退出
9.3 文件备份与还原
文件备份与还原支持两种方式(三选一):
方式一:一键备份与还原,支持dsm5.2.6004及以上版本
方式二:命令方式,支持dsm5.2.6000系列所有版本
方式三:scp -r远程拷贝从老服务器直接传递文件到新需要还原的机器上
9.3.1 一键备份与还原
注意:
备份文件时,需要停止dsm服务器所有模块和保护模块
一般服务器存储的文件较多,服务器备份非常消耗时间,且web端操作响应慢,所以请避开工作时间备份。
使用命令查看保护模块进程号,再kill -9 dsm-self-pro模块的pid。
ps -ef| grep dsm-self-pro
kill -9 dsm-self-pro的pid
使用docker ps -a命令查看所有模块,然后停止各模块。若是热备环境keepalived服务也需停止(非热备环境忽略)。
docker stop tomcat_api
docker stop tomcat_admin
docker stop tomcat_schedule
docker stop tomcat_websocket
docker stop tomcat_file
docker stop tomcat_license
docker stop tomcat_center
docker stop tomcat_eureka
docker stop redis
docker stop fastdfs
docker stop mysql
sysytemctl stop keepalived
停止之后再进行备份文件
- 备份文件
再次说明:一般服务器存储的文件较多,服务器备份非常消耗时间,且web端操作响应慢,所以请避开工作时间备份。
方式一:执行dsmServerTool工具进行备份,命令行为dsmServerTool --backup
方式二: 执行setup.sh --backup一键备份,备份完成后提示备份完成并显示备份文件的位置。
二种方式文件备份方式二选一即可
备份完成后,生成文件data-日期.tar.gz的文件。
- 还原文件
将备份出来的文件data-2020-10-26_14:32.tar.gz,从原服务器拷贝到需要还原的服务器上。执行./setup.sh --recovery PATH(PATH指的是data-2020-10-26_14:32.tar.gz所在的位置)即可,如图。
说明1、命令行也可使用dsmServerTool --recovery PATH
说明2、若是在同台服务器重新安装,即先卸载现有版本dsm,再安装新版dsm,原备份的文件不用做拷出再拷入动作。
举例,将备份出来的data-2020-10-26_14:32.tar.gz放到home(可以任意选位置,只要空间足够放得下)中。
至此,文件备份与还原完成。
9.3.2 命令方式文件备份与还原
特别说明:支持dsm5.2.6000系列所有版本
备份文件
压缩指令tar -zcvf data20201021.tar.gz ./data
备份成功后,可以看到压缩包。
还原文件
将文件拷贝到 /home/DSMServer/cache/FastDFS/fastdfs/fdfs_storage
文件解压指令tar -xzvf test.tar.gz
9.3.3 scp -r 命令远程拷贝文件
该方式节省压缩解压时间,但需服务器之间网络ping得通,支持dsm5.2.6000系列所有版本
直接将带备份服务器data数据直接拷贝到还原的服务器上,不需要压缩备份等操作。如图,将172.16.23.18fastdfs中的data拷贝到10.10.0.90服务器fastdfs中。
命令行为:
/home/DSMServer/cache/FastDFS/fastdfs/fdfs_storage/ //进入172.16.23.18服务器文件所在位置
ls //查看
scp -r data root@10.10.0.90:/home/DSMServer/cache/FastDFS/fastdfs/fdfs_storage/ //复制data到10.10.0.90服务器上
9.4 泄露事件等(momgodb)数据的备份还原
9.4.1 场景说明
- 若系统中含有防泄漏事件、分类分级、文件操作日志存储在mongodb中,则进行数据库备份还原、文件备份还原之后,需要进行泄露事件数据的备份还原;
- 若导入系统的许可文件中,没有泄露事件的许可,则不需要进行该 9.4 步骤的操作;
- 泄露事件数据的备份还原,需要借助工具(MongoDBCompass)实现。
9.4.2 操作说明
查看两台服务器防火墙开放的端口是否包含 27017 端口。若没有包含,则关闭两台服务器的防火墙,或开启两台服务器的 27017 端口。
查看防火墙开发端口命令: firewall-cmd --zone=public --list-ports
关闭防火墙命令: systemctl stop firewalld.service
开放防火墙27017端口命令: (1)firewall-cmd --zone=public --add-port=27017/tcp --permanent
(2)firewall-cmd --reload
使用 MongoDBCompass 连接工具分别连接旧服务器、新服务器的事件数据库
备注:事件数据库的默认账号为:vamtoo,默认密码为vamtoo123456
在旧服务器的事件数据库,分别导出泄露事件数据和扫描记录数据
按照下图的顺序导出泄露事件的数据
与导出泄露事件数据步骤一致,导出扫描记录的数据,最终导出两个json文件如下图所示:
- 在新服务器的事件数据库中,分别导入泄露事件数据和扫描记录数据
连接新服务器的事件数据库,按照下图的顺序导入泄露事件的数据
与导入泄露事件数据步骤一致,导入扫描记录的数据
- 登录新服务器的加密客户端,查看泄露事件和扫描记录,最终查看到数据与原服务器的数据保持一致。
9.5 A服务器备份还原为BC组成的热备服务器
9.5.1 场景说明
场景:项目初期测试阶段,只部署了A服务器进行测试,上面有测试数据且后期需要保留;
测试且试运行一段时间后,正式部署B和C组成的热备服务器,需要将A服务器上的数据迁移到新部署的热备服务器上。
9.5.2 操作说明
备份还原的整体方案:
- 备份A服务器mysql;
- 停止A服务器所有的dsm模块(docker stop dsm各模块)和保护模块,再备份A服务器文件;
2.1 使用命令查看保护模块进程号,再kill -9 dsm-self-pro模块的pid。
ps -ef| grep dsm-self-pro
kill -9 dsm-self-pro的pid
2.2 使用docker ps -a命令查看所有模块,然后停止各模块。若是热备环境keepalived服务也需停止(非热备环境忽略)。
docker stop tomcat_api
docker stop tomcat_admin
docker stop tomcat_schedule
docker stop tomcat_websocket
docker stop tomcat_file
docker stop tomcat_license
docker stop tomcat_center
docker stop tomcat_eureka
docker stop tomcat_incident docker stop redis
docker stop fastdfs
docker stop mysql docker stop mongodb - mysql、momgodb还原到vip(虚拟ip)当前飘在哪台服务器就还原到哪台服务器上,如B;
- 文件还原到B和C服务器,热备的服务器均要还原,保持数据的一致性。
第十章 服务器卸载
10.1 场景说明
不再使用服务时卸载服务器,根据当前部署了哪些模块进行全部卸载,即安装了所有模块卸载所有模块,安装了部分模块卸载当前已安装了的所有模块。
10.2 卸载操作步骤
任意路径下执行命令:dsmServerTool --uninstall
提示是否卸载DSM服务器,输入“yes”,即可完成卸载。
卸载完成,无法访问电子文档安全管理系统,5.3.1000版本开始卸载后所有数据均还保留,即DSMServer文件夹保留,可以根据需要进行手动删除。
第十二章 6000及7000系列服务器升级到5.3.1001
只支持从7002版本直接升级到5.3.1001,且以后的原则也是从次新版升级到最新版,其他老版本分步升级
较老的版本如6002、6003、6004、6005、6006、7001升级,先升级到7002,再从7002升级到5.3.1001
7002升级到5.3.1001,5.3.1001.r5升级到5.3.1001.r6,和5.2.7002升级到5.3.1000步骤都是一样的,以下以5.2.7002升级到5.3.1000为例
<!--
12.1 5.2.6004 / 5.2.6005 升级至 5.3.1001
12.1.1 老服务器上--进行升级
1. 数据库备份
mysql、mongodb数据库备份的方法参见 “第九章 服务器备份还原”,此处不再赘述。
2. 服务器升级安装
2.1 上传产品升级包
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
(1)手动删除老安装包“dsmServerPackagexxx”文件夹(默认安装到home目录下,xxx表示老版本,如6004、6005等)
(2)获取到“DsmServer-5.2.6006.r6-update.tar.gz”(已正式发布版本为准)升级包,并将升级包上传至/home目录下,进入home目录,命令:cd /home
2.2 解压产品升级包
在home目录下执行解压命令:tar -zxvf DsmServer-5.2.6006.r6-update.tar.gz
解压成功,得到文件夹:dsmServerPackage6006
输入命令:cd dsmServerPackage6006 //进入dsmServerPackage目录下
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
2.3 升级包安装
(1)检查原安装版本:
在dsmServerPackage目录下,执行命令:./setup.sh
查看到当前已安装版本为6004。
(2)进行版本升级包安装:
执行升级命令:./setup.sh --upgrade
提示“升级完成”,则完成服务器升级。
2.4 检查服务启动状态
升级完成后,可在浏览器访问服务器IP+8761(例如10.10.1.45:8761)访问查看各模块是否启动完成。如下图所示,共有7个模块。
注:模块启动大概需要5-8分钟,刷新页面即可。
2.5 成功登录管理控制台
完成 DSM5.2.6006服务器升级后,通过浏览器访问电子文档安全管理系统控制台了,例如输入如下地址(本机IP): https://10.10.1.45:9444/dsm/ 进入web登录界面如下图所示:
截止到当前步骤,服务器升级成功到6006。
此时升级到6006后, 若要升级到5.3.1000,参照12.3 服务器5.2.6006、7001、7002升级至5.3.1000 章节。
12.1.2 新服务器上--进行升级
1. 数据库、文件备份--老服务器的数据进行备份
对老服务器的数据库、文件备份的方法参见“第九章 服务器备份还原”,此处不再赘述。
特别说明:数据库和文件都需要进行备份
2. 新服务器上--安装老版本产品包
老版本产品(例如:6004版本)安装方法:参见对应版本的安装部署手册。
特别说明:提示安装完成,并可正常访问管理控制台,进入许可导入界面。
3. 新服务器上--数据库、文件还原
特别说明:将从老服务器上备份出来的“数据库”、“文件”,还原到新服务器上。
数据库、文件还原的方法参见“第九章 服务器备份还原”,此处不再赘述。
4. 新服务器上--服务器升级安装
服务器升级安装方法:参见 12.1.1章节 老服务器上--进行升级 中2. 服务器升级安装 章节。
5. 成功登录管理控制台
完成 DSM5.2.6006服务器升级后,通过浏览器访问电子文档安全管理系统控制台了,例如输入如下地址(本机IP): https://10.10.1.45:9444/dsm/ 进入web登录界面如下图所示:
截止到当前步骤,服务器升级成功到6006。
此时升级到6006后, 若要升级到5.3.1000,参照12.3 章节。
12.2 5.2.6002 / 5.2.6003升级至5.3.1000
12.2.1 老服务器上--进行升级
1. 数据库备份
数据库备份的方法参见—>“第九章 服务器备份还原”,此处不再赘述。
2. 服务器升级安装
2.1 上传产品升级包
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
(1)手动删除老版本“dsmServerPackage”文件夹(默认安装到home目录下)
(3)获取到“DsmServer-5.2.6006.r6-update.tar.gz”(已正式发布版本为准)升级包,并将升级包上传至/home目录下,进入home目录,命令:cd /home
2.2 解压产品升级包
在home目录下执行解压命令:tar -zxvf DsmServer-5.2.6006.r6-update.tar.gz
解压成功,得到文件夹:dsmServerPackage6006
输入命令:cd dsmServerPackage6006 //进入dsmServerPackage目录下
输入命令:ls //查看dsmServerPackage目录下的文件
dsmServerPackage目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
2.3 升级包安装
(1)检查原安装版本:
在dsmServerPackage6006目录下,执行命令:./setup.sh
查看到当前已安装版本为6003。
(2)进行版本升级包安装:
执行升级命令:./setup.sh --upgrade
提示“升级完成”,则完成服务器升级。
2.4 追加安装license模块
升级完成后,需再进行一步自定义安装追加安装license模块。
执行升级命令:./setup.sh --advancedInstall
备注说明:
(1)安装模块选择:0
(2)内存输入:500m(此处输入500m,具体输入值,查看配置文件,命令是cat /etc/dsmServer.conf )
(3)其他选择,输入:yes
2.5 检查服务启动状态
追加安装升级完成后,可在浏览器访问服务器IP+8761(例如10.10.1.45:8761)访问查看各模块是否启动完成。如下图所示,共有7个模块。
注:模块启动大概需要5-8分钟,刷新页面即可。
2.6导入许可
各模块启动完成,在浏览器访问服务器网址:https://10.10.1.45:9444/dsm/(本机IP),如图。将申请码发送给销售人员制作加密狗或者软许可文件。插入加密狗或导入许可文件后会切换到正常的登录页面。
2.7 成功登录管理控制台
完成 DSM5.2.6006服务器升级后,通过浏览器访问电子文档安全管理系统控制台了,例如输入如下地址(本机IP): https://10.10.1.45:9444/dsm/ 进入web登录界面如下图所示:
截止到当前步骤,服务器升级到6006。
此时升级到6006后, 若要升级到5.3.1000,参照12.3 服务器5.2.6006、7001升级至5.3.1000 章节。
12.2.2 新服务器上--进行升级
1. 数据库、文件备份--老服务器的数据进行备份
对老服务器的数据库、文件备份的方法参见“第九章 服务器备份还原”,此处不再赘述。
特别说明:数据库和文件都需要进行备份*
2. 新服务器上--安装老版本产品包
老版本产品(例如:6002、6003版本)安装方法:参见对应版本的安装部署手册。
特别说明:提示安装完成,并可正常访问管理控制台,进入许可导入界面。
3. 新服务器上--数据库、文件还原
特别说明:将从老服务器上备份出来的“数据库”、“文件”,还原到新服务器上。
数据库、文件还原的方法参见“第五章 服务器备份还原”,此处不再赘述。
4. 新服务器上--服务器升级安装
服务器升级安装方法:参见12.2 5.2.6002 / 5.2.6003升级至5.3.1000 章中的2. 服务器升级安装 节。
5. 成功登录管理控制台
完成 DSM5.2.6006 服务器升级后,通过浏览器访问电子文档安全管理系统控制台了,例如输入如下地址(本机IP): https://10.10.1.45:9444/dsm/ 进入web登录界面如下图所示:
截止到当前步骤,服务器升级成功。
-->
12.3 服务器5.2.7002升级至 5.3.1000
12.3.1 服务器--进行升级
1. 数据库备份 数据库备份的方法参见—>“第九章 服务器备份还原”,此处不再赘述。
2. 服务器升级安装
2.1 上传产品包
(备注:截图为测试版本截图,以发布版本为准,操作方法一致)
(1)手动删除老版本“dsmServerPackage7002”文件夹(默认安装到home目录下)
(2)获取到“DsmServer-5.3.1000.r4.tar.gz”(已正式发布版本为准,注意从5.3.1000开始升级包也用整包,最终只有一个整包)包,并将整包上传至/home目录下,进入home目录,命令:cd /home
2.2 解压产品包
在home目录下执行解压命令:tar -zxvf DsmServer-5.3.1000.r4.tar.gz
解压成功,得到文件夹:dsmServerPackage5.3.1000
输入命令:cd dsmServerPackage5.3.1000 //进入dsmServerPackage5.3.1000目录下
输入命令:ls //查看dsmServerPackage5.3.1000目录下的文件
dsmServerPackage5.3.1000目录下包括:cache、dockerImage、dsmServer.conf、module、script、setup.sh。
2.3 产品包安装
(1)检查原安装版本:
在dsmServerPackage5.3.1000目录下,执行命令:./setup.sh
查看到当前已安装版本为7002。
(2)进行版本升级包安装:
执行升级命令:./setup.sh --upgrade
提示“升级完成”,则完成服务器升级。
2.4 检查服务启动状态
追加安装升级完成后,可在浏览器访问服务器IP+8761(例如10.10.1.45:8761)访问查看各模块是否启动完成。如下图所示,共有8个模块。
注:模块启动大概需要5-8分钟,刷新页面即可。
2.5 导入许可
各模块启动完成,在浏览器访问服务器网址:https://10.10.1.45:9444/dsm/(本机IP),如图。将申请码发送给销售人员制作加密狗或者软许可文件。插入加密狗或导入许可文件后会切换到正常的登录页面。
2.6 成功登录管理控制台
完成 DSM5.3.1000服务器升级后,通过浏览器访问电子文档安全管理系统控制台了,例如输入如下地址(本机IP): https://10.10.1.45:9444/dsm/ 进入web登录界面如下图所示:
截止到当前步骤,服务器升级成功至5.3.1000。
12.4 客户端升级
特别说明: 如需使用5.3.1001的客户端安装包或者模块包进行客户端更新,必须要更新“服务器版本至5.3.1001版本”。
1. 6002、6003、6004、6005、6006、7001、7002客户端升级
基于DSM5.2.6002、DSM5.2.6003、DSM5.2.6004、DSM5.2.6005、DSM5.2.6006、7001、7002客户端环境更新客户端,可通过服务器管理控制台中的“自动更新包管理”及“自动更新任务管理”进行模块更新
1.1 自动更新包上传
(备注:自动更新包为:“基础模块“或”其他模块“的模块包)
Windows客户端模块需要进行更新时,可通过”自动更新包管理“上传客户端更新模块。在菜单中点击终端更新管理”—“自动更新包管理”可进入模块包管理页面。
上传客户端模块包:在自动更新包管理页面,点击“上传”,选中需上传的客户端模块包:
备注:
(1)待上传的客户端模块包,勿修改 模块包名称。
(2)可上传的默认模块包包括:客户端模块、核心模块、保护模块、目录监控模块、外发模块、网络模块、硬件管控模块、杀毒支持模块、公共组件,共9个模块。
(3)Windows基础安装包中,已包括:客户端模块、核心模块、保护模块、目录监控模块、外发模块、公共组件,共6个模块。其他三个模块 (网络模块、硬件管控模块、杀毒支持模块) 需通过自动更新任务下发。
①网络模块:支持邮件白名单功能、应用安全网关转发功能;
②硬件管控模块:支持移动介质管控功能;
③杀毒支持模块:支持杀毒软件读写加密文件的驱动模块。
客户端模块包上传完成后,自动更新包管理界面显示如上图所示。 删除客户端模块包:在自动更新包管理页面,可选择模块包进行删除
备注:“正在使用“状态的模块包以及有下发更新过的模块包无法删除。
1.2 下发自动更新任务
Windows客户端模块需要进行更新时,上传完模块包后,可通过“自动更新任务管理“下发自动更新任务,并显示各模块的更新记录。在菜单中点击终端更新管理”—“自动更新任务管理”可进入自动更新任务管理页面。
创建自动更新任务:在自动更新任务管理页面,点击“创建更新任务”,进入创建更新任务页面:
选择模块:模块选项来源于“自动更新包管理“已上传的各模块(例如:网络模块);
选择版本:版本选项来源于“自动更新包管理“已上传模块的各版本。
发布范围:
(1)灰度发布:对“灰度更新终端“进行任务下发、更新。
(2)正式发布:对”灰度更新终端“以外的所有终端进行任务下发、更新。
(3)灰度发布、正式发布多选,则是对所有终端进行任务下发、更新。
任务下发成功,在任务列表中,显示各模块正式发布、灰度发布的"当前版"、"任务进度"、"历史记录"。
备注:当计算机处于关机、网络断线状态时,计算机开机或网络连接后将继续收到更新通知、执行更新操作。另外,客户端模块、硬件管控模块、网络模块、杀毒软件支持模块更新成功后有提示重启终端信息,且需要重启后相关功能才会生效。杀毒软件支持模块不支持WinXP系统。
查看更新进度详情:查看更新进度及终端更新详情。
可根据计算机名称、IP地址、用户账号、用户姓名查询终端更新记录。
查看历史更新记录:查看各模块历史版本更新记录。显示模块更新的版本号、更新任务执行时间。
停止模块更新任务:点击“停止”按钮,则终端中止更新操作。
2. 新用户安装客户端
2.1 管理员上传客户端安装包
管理员通过管理控制台的”客户端安装包上传“菜单上传Windows、Linux、Mac客户端安装包。上传完成后,新用户通过自己的账号登录管理控制台,即可通过管理控制台下载最新客户端安装包进行安装。
在菜单中点击“系统设置” —“客户端安装包上传”可进入客户端安装包上传页面。
显示Windows终端、Linux终端、Mac终端可进行客户端安装包上传。
验证服务器IP或域名:填写验证服务器IP或域名。
分别上传Windows、Linux、Mac客户端安装包。
如需重新上传客户端安装包,可覆盖上传或删除安装包后再上传。
2.2 新用户下载客户端安装包
新用户通过登录管理控制台下载客户端安装包,安装即可。页面下载客户端窗口如下图所示:
备注:
(1)客户端安装完成后,根据提示重启安装客户端的计算机;
第十三章 5.0系列服务器升级
13.1 升级版本支持
支持5.0、5.2、5.2.1、5.2.2、5.2.3、5.2.4、5.2.5发布版;
升级版或二开版不支持
升级步骤中,5.x升级到5.3.1001和5.x升级到5.3.1000是一样的,以下是5.x升级到5.3.1000为例
前提:在使用中的5.x服务器,新部署一台5.3.1000系列服务器。
13.2 升级步骤
step1. 安装DSM5.3.1000服务器,删除新数据库即删除5.3.1000版本的数据库,导入旧数据库即导入5.x版本的数据库
使用navicat(需要使用13以上版本)分别连接5.x服务器和5.3.1000服务器的数据库,本案是5.2.5升级到5.3.1000。
删除5.3.1000服务器的数据库
导出5.2.5服务器的dsm.sql数据库
5.3.1000服务器上导入5.2.5导出的dsm.sql文件
(1)5.3.1000上新建dsm数据库,选中5.3.1000服务器,右键新建数据库,进入如下窗口,输入内容如下:
(2)5.3.1000上执行5.2.5导出的dsm.sql文件。选中5.3.1000的dsm数据库,右键运行SQL文件,选择5.2.5导出的dsm.sql文件。
step2.执行 upgrade5.*-6000.sql 数据库升级脚本(选择下图中原数据库版本对应的升级脚本)
(1)进入5.3.1000服务器指定目录中选择对应版本的sql数据库升级脚本
cd /home/DSMServer/cache/Tomcat/tomcat_center/webapp/ROOT/WEB-INF/classes/upgrade5.x-6000 //进入指定目录
ls //查看文件
(2)在5.3.1000服务器执行拷贝出来的升级脚本,本文是upgrade5.2.5-6000.sql。选中5.3.1000服务器dsm,右键运行SQL文件
step3.重新启动center模块
在5.3.1000服务器上重启执行命令
docker restart tomcat_center
step4.导入许可、导入程序配置、重新设置策略应用程序
访问到5.3.1000服务器web端,导入许可、导入程序配置、重新设置策略应用程序
step5.若老服务器上存在LDAP域的账号,新的5.3.1000服务器则需要删除该ldap域策略,重新新增LDAP域配置
备注:AD域和系统用户无需关注此步。
step6.若老服务器上系统参数设置-日志维护策略,设置了网络存储路径,需再执行sql
备注:若老服务器上未设置网络存储路径,即设置本地存储路径,无需关注此步;
5.3.1000以后版本的服务器也无需关注此步。
选中5.3.1000服务器数据库,点击命令列界面:
连接成功后,在界面中输入如下内容,回车即可。UPDATE ht_dsm_system_setting set store_url_type=0;
13.3 服务器升级申明:升级时历史数据保留情况及注意事项
1)保留数据:
组织架构管理:用户、部门、角色、用户组、域同步策略
安全策略中心:安全域、密级、安全策略(不含受控程序设置和水印图片)
其他:流程模板管理、移动介质管理、系统设置相关数据(不含图片文件)
2)不保留数据:
日志、流程、更新组件、终端、授权文件(所有文件均不保存)、智能加密策略(5.3.1001分2部分:落地监控策略和扫描策略) 备注:选择数据库方式,不管是mysql还是mongdb,日志数据都不保留。
3)初始化数据及配置名称更新
用户权限设置:老数据中,除已废弃的配置外,其余配置均保留;保留的配置数据中,“代码”、“中英文名称”、“中英文提示” 字段更新到与5.3.1001一致
初始化数据维护:模块字典、文件服务器列表、客户端连接地址 与5.3.1001一致
4)算法和密钥 5.2.5是3算法,5.3.1001默认是5算法,也可以修改为3算法。升级过程中,5.3.1001导入许可,许可的密钥要和5.2.5保持一致。新老文件互通,文件解密审批,要注意算法要一致,密钥一致。
13.4 客户端升级
服务器升级完成之后,需要客户端进行升级,有两种方法:
在老服务器即5.X上手动推送对应5.3.1001客户端整包到对应的终端上;
在新服务器即5.3.1001服务器上传5.3.1001客户端整包,用户访问到5.3.1001服务器web自行下载客户端覆盖安装。
第十四章 双机热备服务器升级
14.1 热备服务器升级说明
只支持从7002升级到5.3.1001
其他老版本分步升级:先升级到7002再升级到5.3.1001
备注: 双机热备服务器A和B的操作内容及步骤一致。
14.2 升级步骤
- 注意:升级过程中为了保持热备数据的一致性,需要暂停客户端连接地址,故客户端进入离网状态,建议避开工作时间升级。
step1、数据库备份
数据库备份的方法参见—>“第九章 服务器备份还原”,此处不再赘述。
ifconfig查看当前虚拟ip在哪台上,备份虚拟ip所在的服务器数据库即可,不用两台都备份。
step2、5.3.1001版本产品包上传到服务器
将服务器5.3.1001版本的产品包分别上传到热备服务器A和B的对应目录,本次演示上传到/home路径下,并解压5.3.1001产品包。
step3、关闭服务器防火墙9092、9444、9445端口,执行升级
(1)查看服务器A和B的防火墙开放的端口有哪些:firewall-cmd --zone=public --list-ports
若开放的端口如上图所示,则进行下面操作。若服务器的防火墙没有开放,则跳过该步骤。
(2)关闭服务器A和B防火墙的9092、9444、9445端口
命令为:
firewall-cmd --zone=public --remove-port=9092/tcp --permanent
firewall-cmd --zone=public --remove-port=9444/tcp --permanent
firewall-cmd --zone=public --remove-port=9445/tcp --permanent
firewall-cmd --reload
再次查看防火墙开放的端口,若没有9092、9444、9445即为成功。
命令为:firewall-cmd --zone=public --list-ports
(3)进入5.3.1001升级包解压后的目录
分别在A和B服务器进入解压后的目录:cd dsmServerPackage5.3.1000(应该是5.3.1001,文件夹命令错误的问题,不影响功能,暂不修改)
(4)升级服务器A和B
分别在A和B服务器中执行升级命令:./setup.sh --upgrade
提示升级完成后执行下一步。
step4、重新发开服务器防火墙9092、9444、9445端口,访问管理控制台
(1)重新打开防火墙9092、9444、9445端口
升级完成后,分别在A和B服务器中执行打开对应端口的命令。
命令为:
firewall-cmd --zone=public --add-port=9092/tcp --permanent
firewall-cmd --zone=public --add-port=9444/tcp --permanent
firewall-cmd --zone=public --add-port=9445/tcp --permanent
firewall-cmd --reload
firewall-cmd --zone=public --list-ports
若显示防火墙开放的端口含有9092、9444、9445端口即为打开成功。
备注:打开服务器A和B的防火墙对应端口后等待3分钟即可输入虚拟ip地址访问管理控制台
(2)访问管理控制台
在浏览器中输入虚拟ip的地址,如https://10.10.1.45:9444/dsm,显示如下图。
该图片为7001版本初始化数据的页面,为正常页面。
待初始化完成后,点击关闭按钮,即可进入管理控制台登录界面。
此时双机热备服务器升级到5.3.1001版本成功。