文档首页/ 企业主机安全 HSS/ 常见问题/ Agent相关/ Agent安装失败应如何处理?
更新时间:2025-01-21 GMT+08:00
查看PDF
分享

Agent安装失败应如何处理?

如果Agent安装失败,请参考本文排查处理。

通过HSS控制台界面安装Agent失败

如果您通过“界面安装”安装模式安装Agent失败,您可根据HSS管理控制台的提示信息,参考表 安装Agent失败处理建议提供的建议处理问题。

表1 安装Agent失败处理建议

管理控制台提示信息

处理建议

网络不通,访问超时
  • Linux

    请检查网络配置,保证服务器可正常访问网络。

  • Windows
  1. 以Windows系统管理员身份运行PowerShell。
  2. 执行以下命令,查看Service信息。

    winrm get winrm/config/service

    • 如果AllowUnencrypted的值为“true”,请检查网络配置,保证服务器可正常访问网络。
    • 如果AllowUnencrypted的值为“false”,执行以下命令,修改AllowUnencrypted的值为“true”。

      winrm set winrm/config/service '@{AllowUnencrypted="true"}'

  3. 重试通过HSS控制台界面为Windows主机安装Agent。
  4. Agent安装成功后,请执行以下命令,修改AllowUnencrypted的值为“false”。

    winrm set winrm/config/service '@{AllowUnencrypted="false"}'

认证错误,口令不正确

密码错误,请检查您填写的密码信息。

内存空间不足

安装Agent时,需要保障至少50MB内存空间可用。请检查并清理内存空间。

metadata检查失败

metadata获取失败,请参考Linux操作系统云服务器无法获取元数据怎么办?解决问题。

expect安装失败

请检查网络是否存在波动,待网络恢复正常后重试安装Agent。

如果网络正常仍然安装失败,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。

打通VPC网络失败

您未将VPCOperatePolicy权限授予HSS,HSS无法打通不同VPC之间的网络。建议参考以下操作完成授权:

  1. 登录企业主机安全控制台。
  2. 在单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏,选择安装与配置 > 授权管理,进入授权管理页面。
  4. 单击授权列表左上方“新增授权”,将VPCOperatePolicy权限授予HSS。

关于VPCOperatePolicy权限的含义和作用,请参见授权管理

绑定的DEW密钥状态异常

请检查并将您的DEW密钥对恢复为“正常”状态。

VPCEP打通失败

您未将VPCEPOperatePolicy权限授予HSS,HSS无法创建终端节点,终端节点用于Agent与HSS服务端进行通信。建议参考以下操作完成授权:

  1. 登录企业主机安全控制台。
  2. 在单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏,选择安装与配置 > 授权管理,进入授权管理页面。
  4. 单击授权列表左上方“新增授权”,将VPCEPOperatePolicy权限授予HSS。

关于VPCEPOperatePolicy权限的含义和作用,请参见授权管理

密钥登录失败

密钥错误,请检查您填写的密钥信息。

安装命令无权限执行

可能原因:/tmp目录不允许执行脚本,或bash没有执行权限等。

处理建议:

  • 建议您检查上述目录或文件是否具有相应权限。
  • 如果具备相应权限仍然安装失败,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。

下载安装文件失败

仅Linux主机会出现此类报错,建议参考以下操作排查安全组、DNS配置。

  • 检查安全组

    登录服务器,执行以下命令,确认服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。

    curl -kv https://hss-agent.区域代码.myhuaweicloud.com:10180

    命令中的区域代码,每个区域不同,各区域代码请参见地区和终端节点

    “华北-北京一”为例,完整命令示例:curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180
    • 已放通:ping命令执行正常,表示已放通100.125.0.0/16网段的10180端口。
    • 未放通:ping命令执行后,界面卡住不动,表示未放通100.125.0.0/16网段的10180端口,请参见添加安全组规则放通该端口。
  • 检查DNS配置

    登录服务器,执行以下命令,确认服务器DNS能否正常解析下载Agent的域名。

    ping -c 1 hss-agent.区域代码.myhuaweicloud.com

    命令中的区域代码,每个区域不同,各区域代码请参见地区和终端节点

    “华北-北京一”为例,完整命令示例:ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com

    • 解析成功:界面回显解析出的IP,表示DNS解析正常。
    • 解析失败:界面回显“name or service not known”或未解析出IP,表示DNS解析失败。请参考修改DNS

磁盘不足

请检查以下目录,确保磁盘容量充足:

  • Linux
    • /usr/local:Agent默认安装路径,须确保磁盘可用容量大于300MB。
    • /temp:Agent安装包下载路径,须确保磁盘可用容量大于100MB
  • Windows
    • C:\Users\xxx\Downloads:Agent安装包下载路径,须确保磁盘可用容量大于100MB。
    • C:\Program Files\HostGuard:Agent默认安装路径,须确保磁盘可用容量大于300MB。

DEW未找到托管的私钥

请检查并确保您的密钥对已在DEW进行托管。

如果密钥对已完成托管,安装Agent时HSS仍然提示您未找到托管的私钥,可能是您当前的账号为IAM子账号或委托账号,缺少数据加密服务(DEW)中密钥对管理服务(KPS)相关权限。您可以前往IAM控制台,选择以下两种方式之一进行授权:

  • 授权方式1:为安装Agent的账号授予DEW KeypairFullAccess权限(密钥对管理服务的所有权限)。
  • 授权方式2:如果您不希望安装Agent的账号具有删除密钥对等高危权限,您可以创建如下自定义策略,并将该策略授权给安装Agent的账号。具体创建步骤请参见:创建自定义策略
    授权用户查询、导出密钥对 
    {
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "kps:domainKeypairs:exportpk",
                "kps:domainKeypairs:list",
                "kps:domainKeypairs:get"
            ],
            "Effect": "Allow"
        }
    ]
}

安装异常

请参考以下操作解决问题:

  1. 登录企业主机安全控制台。
  2. 在单击管理控制台左上角的,选择区域和项目。
  3. 在左侧导航栏,选择安装与配置 > 授权管理,进入授权管理页面。
  4. 查看授权列表中是否有VPCEPOperatePolicy、VPCOperatePolicy权限。
    • 是:请您在管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。
    • 否:请您单击授权列表左上方“新增授权”,将VPCEPOperatePolicy、VPCOperatePolicy权限授予HSS后,重试安装Agent。

      关于上述权限的含义和作用,请参见授权管理

网卡路由冲突不支持打通VPC网络

您服务器的网卡和执行Agent安装的服务器已挂载的弹性网卡存在路由冲突,不支持打通VPC网络,建议通过命令行方式安装Agent。

通过命令行安装Agent失败

如果您通过“命令行”安装模式(即登录服务器执行命令)安装Agent失败,可参考本节根据执行命令后的界面回显处理问题。

Linux安装Agent失败

  • 问题现象:网络不通,访问超时
    图1 网络不通,访问超时

    处理建议:请检查网络配置,保证服务器可正常访问网络。

  • 问题现象:没有权限
    图2 没有权限

    处理建议:执行命令的用户非root用户,请使用root用户登录服务器后,再执行安装命令。

  • 问题现象:域名无法解析
    图3 域名无法解析

    处理建议:服务器无法访问Agent下载地址,需要配置华为云内网DNS地址。配置具体操作请参考修改DNS

  • 问题现象:/tmp磁盘不足100MB
    图4 /tmp磁盘不足100MB

    处理建议:/tmp目录是Agent安装包的下载路径,须确保磁盘可用容量大于100MB。

  • 问题现象:/usr/local磁盘不足300MB
    图5 /usr/local磁盘不足300MB

    处理建议:/usr/local目录是Agent默认安装路径,须确保磁盘可用容量大于300MB。

  • 问题现象:TLS协议不兼容 curl: (35) SSL connect error

    处理建议:安装HSS agent,要求TLS为1.2及以上版本。如果TLS版本不满足,请手动将安装命令中的“curl -k -O”替换为“curl --tlsv1.2 -k -O”,重试安装Agent。

    以下是命令修改示例,请不要直接使用。

    • 修改前的安装命令

      curl -k -O 'https://hss-agent.xxx.myhuaweicloudcom:10180/package/agent/linux/install/agent_Install.sh' && echo 'MASTER_IP=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'SLAVE_IP=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'ORG_ID=' >> hostguard_setup_config.conf && bash agent_Install.sh && rm -f agent_Install.sh

    • 修改后的安装命令

      curl --tlsv1.2 -k -O 'https://hss-agent.xxx.myhuaweicloud.com:10180/package/agent/linux/install/agent_Install.sh' && echo 'MASTER_IP=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'SLAVE_IP=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'ORG_ID=' >> hostguard_setup_config.conf && bash agent_Install.sh && rm -f agent_Install.sh

Windows安装Agent失败

使用PowerShell运行脚本后,出现错误提示,请参考以下建议解决问题。

  • 错误提示:username and password cannot be empty

    处理建议:批量安装Agent时,准备的“windows-host-list.xlsx”文件中填写的服务器账号或密码信息不正确,请重新核对并进行修改。

  • 错误提示:remote connect failed

    处理建议:批量安装Agent时,除了执行脚本的服务器,其他服务器需要设置安全组入方向允许执行脚本的服务器IP访问5985端口。请检查是否有服务器安全组入方向未放通5985端口。添加安全组规则请参见添加安全组规则

  • 错误提示:download package failed
    处理建议:下载安装包失败,服务器无法访问Agent下载地址。请检查安全组、DNS配置。
    • 检查安全组:请检查服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。具体请参考修改安全组
    • 检查DNS配置:请检查服务器DNS地址是否为华为云内网DNS。具体请参考修改DNS
  • 错误提示:hostguard install failed

    处理建议:请您在管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。

  • 错误提示:Invoke-Command:无法对参数“session”执行参数验证。参数为Null或空。请提供一个不为Null或空的参数,然后重试该命令。

    处理建议:WinRM服务默认禁用非加密通讯。请参考如下操作,允许非加密通讯。

    1. 以Windows系统管理员身份运行PowerShell。
    2. 执行如下命令,查看基于HTTP的WinRM是否开启。

      winrm enumerate winrm/config/listener

      图6 查看WinRM开启情况
      • 如果存在报错信息,则表示WinRM服务未开启,请执行3
      • 如果不存在报错信息,则表示WinRM服务已开启,请执行4
    3. 执行如下命令开启WinRM,选择y完成设置。

      winrm quickconfig

      图7 开启WinRM
    4. 配置Auth。
      1. 执行如下命令,查看Auth信息。

        winrm get winrm/config/service/auth

        图8 查看Auth信息
      2. 执行如下命令修改“Basic”的值为“true”

        当返回值中“Basic”的值为“true”时,无需执行该步骤。

        winrm set winrm/config/service/auth '@{Basic="true"}'

    5. 配置加密方式为允许非加密。
      1. 执行如下命令,查看client信息。

        winrm get winrm/config/client

        图9 查看client信息

        当返回值中“AllowUnencrypted”“false”时,请执行5.b

      2. 执行如下命令,修改“AllowUnencrypted”“true”

        winrm set winrm/config/client '@{AllowUnencrypted="true"}'

父主题: Agent相关

相关文档