步骤六：安装组件控制器（isap-agent）

安装组件控制器

1. 在步骤五：网络连通配置执行后的页面中，单击页面右下角“下一步”，进入“脚本安装验证”页面。
2. 单击复制安装组件控制器的命令。
   图1 复制安装命令
   

3. 安装组件控制器。支持两种方式安装组件控制器，方式一是通过ECS委托方式安装，方式二是通过IAM账号和密码方式安装，推荐使用方式一。

   方式一：通过ECS委托方式安装组件控制器。

   1. 管理员在IAM新建isap-agent委托并授权。
      1. 管理员登录统一身份认证服务 IAM管理控制台，单击左侧导航栏“委托”，进入委托页面。
      2. 在委托页面，单击页面右上角“创建委托”，在创建委托页面配置如下参数：
         • 委托名称：填写“isap-agent”。
         • 委托类型：选择“云服务”。
         • 云服务：下拉选择“ECS BMS”。
         • 持续时间：选择“永久”。
         • 描述：用户自定义描述信息，可选填写参数。
      3. 配置授权，需要区分IAM3.0和IAM5.0场景。

         IAM3.0（即IAM3）场景：在委托页面，参数配置完成，单击页面右下角“完成”，在弹出的“创建成功”的确认框中单击“立即授权”，进入授权页面。

         IAM5.0（即IAM5）场景：在委托页面，参数配置完成，单击页面右下角“完成”，在弹出的“创建成功”的确认框中单击“暂不授权”。并单击委托页面右上角“体验新版控制台”，进入IAM5身份策略页面。

      4. 自定义身份策略，需要区分IAM3.0和IAM5.0场景。
         IAM3.0（即IAM3）场景：在授权页面，单击页面右上角“新建策略”，在新建策略页面配置如下参数：

         • 策略名称：建议命名为“isap-agent-strategy”。
         • 策略配置方式：选择“JSON视图”。
         • 策略内容，复制如下内容替换当前页面中的内容:

           { 
               "Version": "1.1", 
               "Statement": [ 
                   { 
                       "Effect": "Allow", 
                       "Action": [ 
                           "secmaster:workspace:get", 
                           "secmaster:node:create", 
                           "secmaster:node:monitor", 
                           "secmaster:node:taskQueueDetail" ,
                           "secmaster:node:updateTaskNodeStatus" 
                       ] 
                   } 
               ] 
           }

         • 策略描述：建议补充说明isap-agent的访问接口action策略授权。

         IAM5.0（即IAM5）场景：在身份策略页面，单击页面右上角“创建自定义身份策略”，在新建策略页面配置如下参数：

         • 策略名称：建议命名为“isap-agent-strategy”。
         • 策略配置方式：选择“JSON视图”。
         • 策略内容，复制如下内容替换当前页面中的内容:

           {
             "Version": "5.0",
             "Statement": [
               {
                 "Effect": "Allow",
                 "Action": [
                   "secmaster:workspace:get",
                   "secmaster:node:create",
                   "secmaster:node:monitor",
                   "secmaster:node:taskQueueDetail",
                   "secmaster:node:updateTaskNodeStatus"
                 ]
               }
             ]
           }

         • 策略描述：建议补充说明isap-agent的访问接口action策略授权。
      5. 参数配置完成后，单击页面右下角“下一步”，在弹出的确认框中单击“确定”。
      6. 在策略列表页面勾选已创建的策略“isap-agent-strategy”，单击下一步，设置最小授权范围，此处勾选“所有资源”，单击页面右下角“确定”。
      7. 弹出“授权成功”提示页面，单击“完成”，完成新建isap-agent委托和授权。
   2. 完成弹性云服务器 ECS委托设置。
      1. 登录云服务器控制台，在左侧导航栏选择“弹性云服务器”，找到用于安装组件控制器（isap-agent）的ECS，单击ECS名称，进入ECS详情页。
      2. 在ECS详情页“基本信息”页面的管理信息模块，单击“委托”参数后的按钮，下拉选择3.a创建的“isap-agent”委托并单击，完成ECS委托设置。
   3. 远程登录待安装组件控制器的ECS。
      • 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。
      • 如果您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY等）登录主机，并使用root账号在主机中安装组件控制器。
   4. 粘贴2复制的安装命令，并以root权限执行，在ECS中安装组件控制器。
   5. 根据界面提示，确认是否使用ECS委托授权的方式安装agent，确认使用该方式后输入“y”。
      图2 使用ECS委托授权方式安装agent
      
   6. 如果界面回显“install isap-agent successfully”信息时，则表示组件控制器安装成功。
      图3 安装成功
      

      安装过程中，如果安装失败请参考组件控制器安装失败问题排查进行排查处理；如果提示内存不足，请参见磁盘分区进行处理。

   方式二：通过IAM账号和密码方式安装组件控制器。

   1. 远程登录待安装组件控制器的ECS。
      • 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。
      • 如果您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY等）登录主机，并使用root账号在主机中安装组件控制器。
   2. 粘贴2复制的安装命令，并以root权限执行，在ECS中安装组件控制器。
   3. 根据界面提示，输入创建非管理员IAM账户中创建的IAM账号和密码。
   4. 如果界面回显“install isap-agent successfully”信息时，则表示组件控制器安装成功。
      图4 安装成功
      

   安装过程中，如果安装失败请参考组件控制器安装失败问题排查进行排查处理；如果提示内存不足，请参见磁盘分区进行处理。

4. 确认已安装后，返回安全云脑的新增节点页面（即2），单击页面右下角“确认”。

   安装完成后，可以在节点管理页面查看已新增的节点。

   图5 已新增节点