在前面的文章中讲述了怎么才能顺利部署完趋势无代理防病毒,但最近也遇到过一些案例,无代理防病毒部署失败,未查出原因然后直接删除了相关虚拟机,结果是卸载不干净导致再次部署失败。因此,有了本文,一部分内容演示如何正确卸载无代理防病毒,另一部分演示如何修复异常卸载的残局。
卸载,一般是安装的反操作,因此需要先熟悉一下完成的部署流程,这次通过流程图来展示。
下图表示了部署无代理防病毒时一些重要的步骤以及关联关系,其中影响最大的是组件之间的注册,因为一旦注册后会执行很多自动化配置,如果不按照步骤卸载,这些配置在未来必须手动删除。
正常的卸载流程
如果要从头至尾彻底地卸载,需要经历大约 7 个步骤:
下面演示如何进行每一步的操作:
1、取消激活计算机
打开 DSM,进入“计算机”,选中已被管理的虚拟机,右键选择“停用”
2、删除 NSX 安全策略
打开 vCenter,进入“网络与安全>服务编排>安全策略”,移除之前创建的安全策略
3、删除 NSX 安全组(可选)
打开 vCenter,进入“网络与安全>服务编排>安全组”,移除之前创建的安全组
4、卸载 Deep Security SVM
打开 vCenter,进入“网络与安全>安装和升级>服务部署”,选中之前部署的“Trend Micro Deep Security”,点击删除按钮,等待卸载完成
5、卸载 Guest Introspection
打开 vCenter,进入“网络与安全>安装和升级>服务部署”,选中之前部署的“Guest Introspection”,点击删除按钮,等待卸载完成
6、DSM 中移除 vCenter Server
打开 DSM,进入“计算机”,选中左侧 Computers 下的 vCenter,右键选择“Remove VMware vCenter Server”
如果要完整删除,确保选择第一个选项“从 DSM 移除 VMware vCenter和所有从属计算机/组”
删除完成后,需要登录 vCenter 检查 Deep Security 已经被卸载
7、卸载 NSX(可选)
如果安装了 NSX 完整的功能(逻辑网络、分布式防火墙等),未来会有专门的文章描述如何卸载。
如果仅部署了 NSX 无代理防病毒相关的组件,在执行完上述操作后,可以直接将 NSX manager 关机,然后在 vCenter 中删除 NSX manager 相关插件。具体操作步骤如下:
登录如下地址 : https://vcenter-FQDN/mob,登录
点击“Content”
在 Content 中找到 ExtensionManager,点击
在 ExtensionList 中,确保可以看到 com.vmware.vShieldManager
点击下方的 UnregisterExtension
在 VALUE 栏中输入 “com.vmware.vShieldManager”,点击 Invoke Method
如果返回的结果为 void,代表命令被正常执行
重新登陆 vCenter,可以看到主页中已经没有“网络与安全”的图标
异常卸载后怎么办?
情况1,单方删除了 DSM 等组件
如正文一开始说的,非正常卸载需要手动执行一些操作,大致步骤如下:
步骤1~4参考前面的内容
5、禁用“服务定义”中的 Deep Security Service Manager
打开 vCenter,进入“服务定义>服务管理器”,选中 Deep Security Service Manager,点击编辑按钮
取消勾选“Operational State”
6、删除“服务定义”中的 Deep Security
打开 vCenter,进入“服务定义>服务”,选中 Trend Micro Deep Security,点击编辑按钮
点击左侧的 Service Instances>Trend Micro Deep Security,点击右侧 Related Objects,选中 Default(EBT),点击删除按钮
点击左侧的 Service Instances,点击右侧 Related Objects,选中 Trend Micro Deep Security-Globalinstance,点击删除按钮
点击左侧的 Trend Micro Deep Security,点击右侧窗口的删除按钮
按照以上步骤卸载完成后,便可以重新安装 DSM,进行 vCenter 与 NSX 的注册等等。
情况2,单方删除了 NSX Manager
如果单方删除了 NSX Manager,问题会比较复杂,因为通过 NSX Manager 部署的 Guest Introspection 会在主机上有很多配置,这些配置必须在 NSX Manager 可用的情况下才能自动删除,这些配置包括虚拟交换机的配置、主机上的 EPSec vib 及配置等。
有种简便的办法,就是将 Guest Introspection 手动删除,然后让主机进入维护模式,然后移出集群,这样关于集群的相关配置都会自动被删除。
1、将虚拟机关机或迁移到其他主机
2、删除 Guest Introspection 虚拟机
3、将主机进入维护模式
4、将主机移出集群
系统会自动进行 agent 卸载
5、手动删除 vmservice-vswitch
在 DSM 端,也需要手动移除 NSX Manager 和 vCenter:
打开 DSM,进入“计算机”,选中左侧 Computers 下的 vCenter,右键选择“Properties”
选择 NSX Manager,点击“Remove NSX Manager”
然后再移除 VMware vCenter Server
其他一些相关问题
(卸载重装并不能从根本上解决问题,有时候就是因为误配置导致安装/测试失败):
1、部署 Guest Introspection/Deep Security SVM 异常怎么办?
这种问题可能由多种原因造成,常见解决办法如下:
- 检查 GI 和 DS SVM 地址池配置是否正常,可用地址是否足够。
对于 NSX 6.3 以前的版本,地址池位置在:“vCenter>网络与安全>左下角 NSX Manager>选中合适的 NSX manager>Manage>Grouping Objects>IP Pools”
对于 NSX 6.4以后的环境,地址池位置在:“vCenter>网络与安全>Groups and Tags>IP Pools”
- 检查两种虚拟机所在的磁盘、网络端口组是否正确
-
重启大法
一般如果系统检测到运行异常,可以使用“Resolve”按钮重启虚拟机,或者手动重启虚拟机
- 重装大法
在 NSX 服务部署页面删除掉 Guest Introspection 和趋势 SVM,再重新安装
2、执行防病毒测试失败怎么办?
笔者在实验环境中,唯一遇到的问题就是 DSM 未配置 Relay Server(或 Relay Server 未正常工作/未连接到互联网),一旦修正此配置,测试立马通过。
本文参考资料:
https://help.deepsecurity.trendmicro.com/10/0/zh-cn/Get-Started/Install/ig-uninstall-nsx.html
https://help.deepsecurity.trendmicro.com/10/0/Get-Started/Install/ig-uninstall-nsx.html
https://docs.vmware.com/en/VMware-NSX-for-vSphere/6.4/com.vmware.nsx.install.doc/GUID-33D4FCB4-A8C8-4307-B638-AA6BBA0AD2A5.html