GUP 角色可以分配给任何 SEP 客户端。SEP 客户端分配到 GUP 角色后,它会充当缓存 HTTP 代理,存储 SEP 内容的增量和完整修订。
其他 SEP 客户端可配置为使用 GUP 通过 Symantec Endpoint Protection Manager (SEPM) 的 LiveUpdate 策略进行定义和内容更新。
将 GUP 作为环境中总体内容更新方案的一部分前,应考虑如下元素:
网络注意事项
GUP 可以用于补充或替代 SEPM 向 SEP 客户端分发内容更新,但不能用于更新策略或管理客户端。客户端仍然连接至 SEPM 才能执行心跳过程,该过程会更新其策略并在 GUP 提供新内容时及时发出通知。
如果您要通过 GUP 更新的 SEP 客户端无法连接到 SEPM 管理客户端所用的 HTTP 端口,则考虑选择其他方法来更新客户端。根据环境中所用 SEPM 的版本,默认的客户端管理端口为 80 或 8014。该端口可在产品中进行配置。在客户端上同时更新内容和策略的唯一方法是通过 SEPM。
由于 GUP 实质上是一个具有其他 GUP 角色的 SEP 客户端,因此它必须能够通过客户端管理端口访问 SEPM。此外,GUP 所用的客户端必须连接至 GUP 侦听的 HTTP 端口(默认为 2967)。赛门铁克建议 GUP 与配置为通过 GUP 进行更新的所有客户端位于同一个网络段上。
GUP 可按需为其本身或配置为通过其进行更新的任何客户端下载定义。GUP 将根据其 LiveUpdate 策略中的设置缓存所有下载的内容。您配置为使用 GUP 的客户端会直接从 GUP 而非 SEPM 下载定义。此方法可显著节省带宽。GUP 和 SEPM 之间必须存在足够的带宽才允许 GUP 下载 SEP 客户端请求的完全定义和增量定义包。客户端使用定义修订的范围越大,SEPM 与 GUP 之间的带宽利用率越高。
虽然使用 GUP 可从战略上显著降低带宽利用率,但在网络中定位 GUP 可最大限度提高效用。GUP 应仅配置为向其局域网段上的客户端提供更新。GUP 必须具有足够的带宽以向客户端提供多达 600MB 的内容包,GUP 一天最多向客户端提供三次内容包。
客户端总数
GUP 角色的当前迭代可以配置为最多支持 10,000 个客户端。要确保 GUP 能够更新大量客户端,需要将 GUP 配置为处理超过默认值的客户端数量。
GUP 上可用的物理磁盘空间总量
默认情况下,GUP 在以下两种情况下会自动从其缓存清除内容:
- 如果 GUP 上的内容增长超出了配置用于内容更新的最大磁盘缓存大小设置。在这种情况下,GUP 会清除自上次访问以来时限最久的内容,为新内容腾出空间。
将用于内容更新的最大磁盘缓存大小设为至少 2000 MB。该设置可确保空间足够容纳 32 位和 64 位内容。
- 如果任何个别内容早于删除未用内容更新设置的时间。在这种情况下,GUP 会删除时间最早的内容。
GUP 上的其他硬件/软件限制
赛门铁克测试了各种硬件和操作系统配置上的 GUP 角色。通过此测试,我们发现 GUP 角色几乎不会在测试系统上增加 CPU、内存和 IO 负载。
GUP 角色生成的负载会基于如下条件增加:
- 配置从 GUP 更新的客户端数
- 客户端请求的增量或完整内容更新的量
- 定义在环境中更新的频率
GUP 硬件和软件的基本注意事项如下:
- 确保用作 GUP 的计算机具有足够的 CPU 和内存容量。这样一来,在 GUP 向 SEP 客户端提供内容时系统可正常运行
- 默认情况下,Windows 配置为同时允许最多 5000 个 TCP 连接。在此配置中,GUP 每秒能够支持 40 个客户端连接。
- Windows 可以配置为同时允许最多 65534 个 TCP 连接。在此配置中,GUP 每秒能够支持大约 180 个客户端连接。
GUP 可用性
如果 SEP 客户端配置为仅从单个 GUP 获取更新,并且要求客户端能够 24/7 全天下载内容更新,请定期确保未关闭 GUP 计算机。在这种情况下,用户的工作站可能不太适合作为 GUP 运行,该工作站可能夜间或周末关闭。相反,经常使用的服务器更合适。
此外,如果 GUP 从 SEPM 下载内容的速度受限,则更要使用很少关机的计算机。在 GUP 和 SEPM 之间连接速度非常慢或严重受限的环境中,GUP 可能需要数小时才能从 SEPM 下载完整内容包。仅在几个小时后关闭的计算机可能没有足够的时间来下载完整定义包。
非常感谢您的反馈。如果您还有其他意见,请在下方告诉我们。(需要登录)