Instalación de un clúster de Network Discover en Linux
Network Discover
en LinuxSiga este procedimiento para instalar el software del clúster
Network Discover
en un equipo del servidor. Especifique el tipo de clúster durante el proceso de registro del servidor que sigue a este proceso de instalación.
Antes de comenzar
Complete los siguientes requisitos previos antes de iniciar la instalación del clúster
Network Discover
: - Complete los pasos de preparación de la actualización. Consulte Preparación para actualizar Symantec Data Loss Prevention.
- Copie el archivoDetectionServer.zipen el directorio/opt/temp/en el equipo del servidor.
Pasos para instalar un clúster Network Discover en Linux
Network Discover
en LinuxLa siguiente sección enumera los pasos que se completan para instalar clústeres en plataformas Linux.
Paso 1: Proteja las comunicaciones entre los nodos
Cree un paquete de autenticación usando DiscoverClusterKeyTool antes de instalar los nodos de trabajador y de datos. El paquete de autenticación permite la comunicación cifrada entre los nodos y Enforce Server.
- Localice DiscoverClusterKeyTool en/opt/Symantec/DataLossPrevention/EnforceServer/16.0.1.00000/Protect/bin/DiscoverClusterKeyTool
- Prepárese para ejecutar el paquete de autenticación.Escriba los valores que incluyan información específica para la instalación. Consulte la tabla siguiente para obtener una lista de parámetros y descripciones.Parámetros de DiscoverClusterKeyToolComandoDescripcióngenerate-package-typeDefine el tipo de nodo para el que se utiliza la autenticación, incluidos los siguientes:
- WNpara los nodos de trabajador.
- DNpara un nodo de datos.
- Todospara los nodos de trabajador y de datos.
enforce-url(Opcional) Escriba el nombre del host o la IP de Enforce Server.Si no escribe un valor, la herramienta asigna la dirección URLhttps://<localhost>/.enforce-usernameEscriba un nombre de usuario de Enforce Server con derechos de administrador.enforce-passwordEscriba la contraseña para el usuario especificado enenforce-username.keystore-password(Opcional) Escriba una contraseña para el almacén de claves.Si no especifica una contraseña, la herramienta asigna una contraseña generada aleatoriamente.truststore-password(Opcional) Escriba una contraseña para el almacén de confianza.Si no especifica una contraseña, la herramienta asigna una contraseña generada aleatoriamente por el almacén de confianza.disable-ssl-verification(Opcional) Indique si desea deshabilitar la verificación de SSL al conectarse a Enforce Server.Es posible introducir uno de los siguientes valores:- truedeshabilita la verificación de SSL en el lado del cliente
- false(opción predeterminada) mantiene la verificación de SSL habilitada en el lado del cliente
output-dir(Opcional) Defina el directorio donde la herramienta crea el archivo zip del paquete de autenticación.De forma predeterminada, la herramienta crea el paquete en el directorio actual.El siguiente comando es un ejemplo que incluye todas las opciones.DiscoverClusterKeyTool -generate-package -type=All-enforce-url=https://<localhost>/-enforce-username=SymantecDLP-enforce-password=<password>-keystore-password=<password>-truststore-password=<password>-disable-ssl-verification=true-output-dir=/opt/Symantec/DataLossPrevention/DataLossPreventionDetectionServer /16.0.1.00000/Protect/keystore/discovercluste - Ejecute el comando.La herramienta crea archivos basados en la ubicación definida congenerate-package-type. La tabla siguiente enumera las salidas basadas en el tipo de paquete.Salidas del paquete de autenticaciónTipo de paqueteArchivo generadoWNdlp_discover_cluster_workernode_auth.zipUsar durante la instalación del nodo de trabajador.DNdlp_discover_cluster_datanode_auth.zipUsar durante la instalación del nodo de datos.Todosdlp_discover_cluster_auth.zipEl archivo contienedlp_discover_cluster_workernode_auth.zipydlp_discover_cluster_datanode_auth.zip.Extraiga los archivos ZIP individuales para acceder durante la instalación del nodo de trabajador y del nodo de datos.
Paso 2: Instalar JRE
Paso 3: Instalar nodos
Complete este procedimiento para instalar el software del nodo en un equipo del servidor. Especifique el tipo de nodo durante el proceso de configuración.
Instale un nodo de datos antes de instalar los nodos de trabajador. La instalación del nodo de datos en primer lugar define dónde los nodos de trabajo se comunican una vez que están instalados.
- Complete los pasos previos a la instalación.
- Inicie sesión como raíz en el equipo en el cual desea instalar el software del servidor de detección.
- Copie el instalador del servidor de detección (DetectionServer.zip) de Enforce Server a un directorio local en el servidor de detección. El archivoDetectionServer.zipse incluye en el directorio de la descarga de software (DLPDownloadHome). Se debe copiar a un directorio local en Enforce Server durante el proceso de instalación de Enforce Server.
- Navegue al directorio donde copió el archivoDetectionServer.zip(/opt/temp/).
- Descomprima el contenido del archivo (por ejemplo, descomprima/opt/temp).
- Confirme las dependencias de archivo para los archivos RPM ejecutando el comando siguiente:rpm -qpR *.rpmTambién puede especificar un archivo para confirmar ejecutando el comando siguiente:rpm -qpR.rpm-filedonde.rpm-filees el archivo que desea confirmar.Si el comando indica que faltan dependencias, puede usar los repositorios de YUM para instalarlos. Use el siguiente comando:yum installrepoReemplacerepocon el nombre del paquete del repositorio.
- Instale el servidor de detección ejecutando el comando siguiente:./install.sh -t detectionSi usa YUM para instalar, no se pueden sobrescribir las raíces reubicables predeterminadas en las queSymantec Data Loss Preventionestá instalado.
- Inicie el proceso de configuración del nodo.
Paso 4: Configure el software del nodo
Después de instalar un servidor de detección, debe configurarlo mediante la ejecución de la utilidad de configuración del servidor de detección.
Es posible completar la instalación silenciosamente o de forma interactiva desde la línea de comandos. La table siguiente enumera los parámetros de instalación que se usan durante la instalación.
Comando | Descripción |
|---|---|
jreDirectory | Especifica dónde reside JRE. |
fipsOption | Define si se deshabilita ( Deshabilitado ) o se habilita (Habilitado ) el cifrado de FIPS. |
serviceUserOption | Define el usuario del servicio introduciendo NewUser o ExistingUser . |
serviceUserUsername | Define un nombre para la cuenta que se utiliza para administrar los servicios de Symantec Data Loss Prevention . El nombre de usuario predeterminado es “SymantecDLP”. |
detectionCommunicationDefaultCertificates | Define si se usan los certificados predeterminados ( Habilitado ) o los certificados que se crean (Deshabilitado ). |
bindHost | Define la interfaz de red del servidor de detección que se debe usar para comunicarse con Enforce Server. Si hay solamente una interfaz de red, deje este campo en blanco. |
bindPort | Define el número de puerto en el cual el servidor de detección debe aceptar las conexiones de Enforce Server. El número de puerto predeterminado es 8100. Si no puede usar el puerto predeterminado, puede cambiarlo a cualquier puerto superior al puerto 1024, en el intervalo de 1024-65535. |
discoverClusterRoleOption | Define el tipo de servidor que se está instalando, que incluye lo siguiente:
Si se instala un nodo de trabajador, CAP_NET_BIND_SERVICE se establece para los procesos de Java durante la instalación. Esta funcionalidad se elimina si se desinstala el nodo de trabajador. |
discoverClusterIP | Define el nodo de datos IP. Si está instalando el nodo de datos, introduzca la dirección IP interna del servidor donde prevea instalar el nodo de datos. |
discoverClusterDiscoveryPortRange | Se utiliza con la dirección IP del clúster para detectar nodos de datos en un clúster. Este parámetro es necesario para la instalación del nodo de datos. El valor predeterminado es 47500..47520 . |
discoverClusterClientConnectionPortRange | Define el intervalo de puertos utilizados para la comunicación entre los nodos de trabajador y de datos en un clúster. Este parámetro es necesario para la instalación del nodo de trabajador y de datos. El valor predeterminado es 10800..10820 . |
discoverClusterAuthPackage | Define la ubicación del paquete de autenticación. Oriente el archivo en función del tipo de nodo que está instalando:
|
Los ejemplos siguientes muestran los comandos completados para los nodos de trabajador y los nodos de datos. Los comandos que se utilizan se diferencian en función de los requisitos de implementación. El uso de los siguientes comandos tal como están puede hacer que la instalación falle.
- Comando de ejemplo del nodo de datos:./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=SymantecDLP -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=DN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/opt/dlp_discover_cluster_datanode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>-discoverClusterDiscoveryPortRange=<StartPort>..<EndPort>
- Comando de ejemplo del nodo de trabajador:
./DetectionServerConfigurationUtility -silent -jreDirectory=/usr/lib/jvm/adoptopenjdk-8-hotspot-jre/ -serviceUserOption=ExistingUser -serviceUserUsername=protect -bindHost=[IP or host name]-bindPort=8100 -fipsOption=Disabled -detectionCommunicationDefaultCertificates=Enabled -discoverClusterRoleOption=WN -discoverClusterIP=0.0.0.0 -discoverClusterAuthPackage=/home/bishnu/Desktop/dlp_discover_cluster_workernode_auth.zip -discoverClusterClientConnectionPortRange=<StartPort>..<EndPort>
- Navegue al directorio de instalación. Vaya al directorio predeterminado en/opt/Symantec/DataLossPrevention/DetectionServer/16.0.1.00000/Protect/installo a la ruta que se ha utilizado si se ha seleccionado una instalación no predeterminada.
- Ejecute la utilidad de configuración del servidor de detección. Use el siguiente comando para iniciar la utilidad:./DetectionServerConfigurationUtility
- En la utilidad de configuración del servidor de detección, escriba la siguiente información:Acuerdo de licenciaRevise y acepte el acuerdo de licencia especificando1.Directorio de JREEscriba el directorio de JRE.El directorio recomendado es/opt/AdoptOpenJRE/.[JRE version]Cifrado de FIPSSeleccione si desea deshabilitar o habilitar el cifrado de FIPS.Usuario del servicioEscriba1para añadir un nuevo usuario o2para usar un usuario existente.El nuevo nombre de usuario predeterminado es "SymantecDLP". Si crea un nuevo usuario de servicio, escriba el nombre de usuario cuando se le pida.Si crea un nuevo usuario de servicio, el usuario debe ser miembro de un grupo y los nombres del usuario de servicio y del grupo deben coincidir. Si no se cumplen estas condiciones, se producirá un error en las actualizaciones.Puerto de redAcepte el número de puerto predeterminado (8100) en el cual el servidor de detección debe aceptar las conexiones de Enforce Server. Si no puede usar el puerto predeterminado, puede cambiarlo a cualquier puerto superior al puerto 1024, en el intervalo de 1024-65535.Interfaz de redEscriba la interfaz de red del servidor de detección (dirección enlazada) que se debe usar para comunicarse con Enforce Server. Si hay solamente una interfaz de red, deje este campo en blanco.Tipo de nodoDefina el tipo de servidor que se está instalando, que incluye lo siguiente:
- DNpara un nodo de datos.
- WNpara un nodo de trabajador.
IP del nodo de datosSi está instalando el nodo de datos, introduzca la dirección IP del servidor donde prevea instalar el nodo de datos.Intervalo de puertos de detección del clústerNetwork DiscoverSe utiliza con la dirección IP del clúster para detectar nodos de datos en un clúster.Este parámetro es necesario para la instalación del nodo de datos.El valor predeterminado es47500..47520.Intervalo de puertos de conexión del cliente del clústerNetwork DiscoverDefine el intervalo de puertos utilizados para la comunicación entre los nodos de trabajador y de datos en un clúster.Este parámetro es necesario para la instalación del nodo de trabajador y de datos.El valor predeterminado es10800..10820.Paquete de autenticación del clústerDefina la ubicación del paquete de autenticación.Oriente el archivo en función del tipo de nodo que está instalando:- Nodo de trabajador:dlp_discover_cluster_workernode_auth.zip
- Nodo de datos:dlp_discover_cluster_datanode_auth.zip
- Verifique que el nodo está instalado correctamente.
- Cree una copia de seguridad del sistema después de completar la instalación.