大规模部署和生产建议

至此,IoT 安全运营中心的安全 Agent 就安装结束了,我们强烈建议首次接入的用户使用测试设备进行一段时间的评估和试用之后,再进行大规模部署,具体试用方法,请参考《IoT 安全运营中心用户手册》对接入的设备进行试用,分析安全风险以及实施安全修复举措。

1. 批量后装部署

IoT 安全运营中心的安全 Agent 可以让企业用户在完成试用评估后,无功能和性能问题的前提下提供设备灰度部署支持。即将在评估环境中配置和测试过的 Agent (已)安装二进制文件复制到其它同类型的产品当中。可使用附件中的工具完成部署过程。

(1)从一个运行稳定的已部署 IoT 安全运营中心的安全 Agent 主机上准备待规模化复制的 Agent 二进制程序包,将以它为模板复制到其它相同设备类型的主机环境中:

sudo service dpsd stop
sudo tar -czf $HOME/system.tar.gz /system
sudo service dpsd start

(2)下载 “阿里云 IoT 安全运营中心客户端部署工具 Windows 版”,解压缩到管理员主机的任意目录,例如 D:\isccdt

(3)启动 Windows cmd 命令行,cd 到部署工具文件夹,并执行:

pscp.exe -scp -pw <password> -P <port> -l <user> <ip>:/home/<user>/system.tar.gz ./

其中:

  • ip:指代远程主机地址

  • port:指代远程主机 SSH 端口,默认是 22

  • user:指代远程 Linux 主机 ssh 登录用户

  • password:指代远程 Linux 主机 ssh 登录密码

运行完上述命令之后,在 D:\isccdt 目录下会多出一个 system.tar.gz,即需要规模化复制的范本,将它解压缩。

(4)运行 distribution_tool.exe,填入需要部署到的同类设备其它主机的 IP,SSH 端口,账户和密码。并在“源文件夹”中选中刚才下载并解压缩的 system 目录。点击“测试连接”,如果测试连接通过(切换为已连接状态),然后再点下“部署”按钮即可一键部署。

image.png

image.png

(5)部署完成之后可以稍等片刻,点击“检查状态”以及“远程日志”获取部署状态,如果通过则可继续下一台主机的部署。

(6)在 IoT 安全运营中心控制台的资产列表当中可以查阅到当下同类型设备部署安全 Agent 的状况,台数,安全事件等。

2. 前装固件集成,生产和升级

对于设备制造商而言,可以在一台用于研测的设备或者开发板上完成开发和评估。然后需将调试稳定的 IoT 安全运营中心的安全 Agent 可执行程序和配置文件集成到设备固件,以方便生产制造。此时需按照下面的步骤执行:

(1)将研测设备或者开发板中调试稳定的 /system/dps 目录放置到固件 rootfs 下,注意务必删除其中测试用的 /system/dps/etc/soc.license 文件,以及其它和身份相关的配置文件,例如使用安全通道连接时的 /system/dps/etc/sagent.ini 配置文件中的具体的 PK token 等信息。

(2)不要将 /data/dps 放置到固件 rootfs。

(3)设备发售、安装或者 FOTA 之后容易造成大批量大规模同时上线,导致 SOC 服务端上线请求洪峰,在此强烈建议制造商通过配置 $DPS_HOME/etc/sagent.ini 当中的 dispertion(单位:秒)参数来退避设备上线请求,以实现平滑上线。

(4)可将 /etc/systemd/system/dpsd.service 放置到设备固件 rootfs 下,以使得 IoT 安全运营中心的安全 Agent 出厂上电之后自动启动。

(5)对于产线母盘烧制的设备,打包 rootfs 并提交给制造商,烧录到设备固件中。

(6)对于向产线提供 ISO 安装镜像的设备(以 CentOS 无人值守安装为例),可将 /system/dps 以及 /etc/systemd/system/dpsd.service 文件打包成一个专门的 rpm,放置到 CentOS ISO 的 Packages 目录,并在 ks.cfg 中指定安装此 rpm,rpmbuild spec 文件中将上述目录平铺展开到 rootfs 即可。