至此，IoT 安全運(yùn)營(yíng)中心的安全 Agent 就安裝結(jié)束了，我們強(qiáng)烈建議首次接入的用戶使用測(cè)試設(shè)備進(jìn)行一段時(shí)間的評(píng)估和試用之后，再進(jìn)行大規(guī)模部署，具體試用方法，請(qǐng)參考《IoT 安全運(yùn)營(yíng)中心用戶手冊(cè)》對(duì)接入的設(shè)備進(jìn)行試用，分析安全風(fēng)險(xiǎn)以及實(shí)施安全修復(fù)舉措。

1. 批量后裝部署

IoT 安全運(yùn)營(yíng)中心的安全 Agent 可以讓企業(yè)用戶在完成試用評(píng)估后，無(wú)功能和性能問(wèn)題的前提下提供設(shè)備灰度部署支持。即將在評(píng)估環(huán)境中配置和測(cè)試過(guò)的 Agent （已）安裝二進(jìn)制文件復(fù)制到其它同類型的產(chǎn)品當(dāng)中?？墒褂酶郊械墓ぞ咄瓿刹渴疬^(guò)程。

（1）從一個(gè)運(yùn)行穩(wěn)定的已部署 IoT 安全運(yùn)營(yíng)中心的安全 Agent 主機(jī)上準(zhǔn)備待規(guī)?；瘡?fù)制的 Agent 二進(jìn)制程序包，將以它為模板復(fù)制到其它相同設(shè)備類型的主機(jī)環(huán)境中：

sudo service dpsd stop
sudo tar -czf $HOME/system.tar.gz /system
sudo service dpsd start

（2）下載 “阿里云 IoT 安全運(yùn)營(yíng)中心客戶端部署工具 Windows 版”，解壓縮到管理員主機(jī)的任意目錄，例如 D:\isccdt

（3）啟動(dòng) Windows cmd 命令行，cd 到部署工具文件夾，并執(zhí)行：

pscp.exe -scp -pw <password> -P <port> -l <user> <ip>:/home/<user>/system.tar.gz ./

其中：

• ip：指代遠(yuǎn)程主機(jī)地址

• port：指代遠(yuǎn)程主機(jī) SSH 端口，默認(rèn)是 22

• user：指代遠(yuǎn)程 Linux 主機(jī) ssh 登錄用戶

• password：指代遠(yuǎn)程 Linux 主機(jī) ssh 登錄密碼

運(yùn)行完上述命令之后，在 D:\isccdt 目錄下會(huì)多出一個(gè) system.tar.gz，即需要規(guī)模化復(fù)制的范本，將它解壓縮。

（4）運(yùn)行 distribution_tool.exe，填入需要部署到的同類設(shè)備其它主機(jī)的 IP，SSH 端口，賬戶和密碼。并在“源文件夾”中選中剛才下載并解壓縮的 system 目錄。點(diǎn)擊“測(cè)試連接”，如果測(cè)試連接通過(guò)（切換為已連接狀態(tài)），然后再點(diǎn)下“部署”按鈕即可一鍵部署。

（5）部署完成之后可以稍等片刻，點(diǎn)擊“檢查狀態(tài)”以及“遠(yuǎn)程日志”獲取部署狀態(tài)，如果通過(guò)則可繼續(xù)下一臺(tái)主機(jī)的部署。

（6）在 IoT 安全運(yùn)營(yíng)中心控制臺(tái)的資產(chǎn)列表當(dāng)中可以查閱到當(dāng)下同類型設(shè)備部署安全 Agent 的狀況，臺(tái)數(shù)，安全事件等。

2. 前裝固件集成，生產(chǎn)和升級(jí)

對(duì)于設(shè)備制造商而言，可以在一臺(tái)用于研測(cè)的設(shè)備或者開(kāi)發(fā)板上完成開(kāi)發(fā)和評(píng)估。然后需將調(diào)試穩(wěn)定的 IoT 安全運(yùn)營(yíng)中心的安全 Agent 可執(zhí)行程序和配置文件集成到設(shè)備固件，以方便生產(chǎn)制造。此時(shí)需按照下面的步驟執(zhí)行：

（1）將研測(cè)設(shè)備或者開(kāi)發(fā)板中調(diào)試穩(wěn)定的 /system/dps 目錄放置到固件 rootfs 下，注意務(wù)必刪除其中測(cè)試用的 /system/dps/etc/soc.license 文件，以及其它和身份相關(guān)的配置文件，例如使用安全通道連接時(shí)的 /system/dps/etc/sagent.ini 配置文件中的具體的 PK token 等信息。

（2）不要將 /data/dps 放置到固件 rootfs。

（3）設(shè)備發(fā)售、安裝或者 FOTA 之后容易造成大批量大規(guī)模同時(shí)上線，導(dǎo)致 SOC 服務(wù)端上線請(qǐng)求洪峰，在此強(qiáng)烈建議制造商通過(guò)配置 $DPS_HOME/etc/sagent.ini 當(dāng)中的 dispertion（單位：秒）參數(shù)來(lái)退避設(shè)備上線請(qǐng)求，以實(shí)現(xiàn)平滑上線。

（4）可將 /etc/systemd/system/dpsd.service 放置到設(shè)備固件 rootfs 下，以使得 IoT 安全運(yùn)營(yíng)中心的安全 Agent 出廠上電之后自動(dòng)啟動(dòng)。

（5）對(duì)于產(chǎn)線母盤(pán)燒制的設(shè)備，打包 rootfs 并提交給制造商，燒錄到設(shè)備固件中。

（6）對(duì)于向產(chǎn)線提供 ISO 安裝鏡像的設(shè)備（以 CentOS 無(wú)人值守安裝為例），可將 /system/dps 以及 /etc/systemd/system/dpsd.service 文件打包成一個(gè)專門的 rpm，放置到 CentOS ISO 的 Packages 目錄，并在 ks.cfg 中指定安裝此 rpm，rpmbuild spec 文件中將上述目錄平鋪展開(kāi)到 rootfs 即可。