主机安装Agent失败如何处理？

如果Agent安装失败，请参考本文排查处理。

通过HSS控制台界面安装Agent失败

如果您通过“界面安装”安装模式安装Agent失败，您可根据HSS管理控制台的提示信息，参考表安装Agent失败处理建议提供的建议处理问题。

表1 安装Agent失败处理建议
管理控制台提示信息	处理建议
网络不通，访问超时，请检查网络配置	Linux 确认服务器是否可正常访问网络。网络访问正常，执行2。网络访问异常，请检查网络配置，保证服务器可正常访问网络。检查服务器所在安全组入方向是否放通22端口。 HSS将通过SSH协议登录服务器安装Agent。因此，如果未放通22端口，HSS将无法完成Agent安装。安全组配置方式请参见配置安全组规则。 Windows 确认服务器是否可正常访问网络。网络访问正常，执行2。网络访问异常，请检查网络配置，保证服务器可正常访问网络。检查服务器所在安全组入方向是否放通5985端口。当通过脚本批量为主机安装Agent时，需要开放5985端口。除执行脚本的服务器，其他服务器的安全组入方向，要允许执行机（即执行脚本的服务器）的IP访问5985端口。HSS将以执行脚本的服务器作为执行机，通过5985端口登录目标服务器完成Agent安装。安全组配置方式请参见配置安全组规则。
认证错误，口令不正确，请检查口令	属于密码错误原因，请检查您填写的密码信息。
DEW未找到托管的私钥，请确认私钥是否已托管	请检查并将您的DEW密钥对恢复为“托管”状态。
metadata检查失败，请检查metadata信息	metadata获取失败，请参考Linux操作系统云服务器无法获取元数据怎么办？解决问题。
expect安装失败，请检查expect安装信息	请检查网络是否存在波动，待网络恢复正常后重试安装Agent。如果网络正常仍然安装失败，请您在华为云管理控制台的右上角，单击“工单 > 新建工单”，通过工单向技术人员寻求帮助。
打通VPC网络失败，请VPCOperatePolicy授权权限，授权后重试安装	由于未将VPCOperatePolicy权限授予HSS，HSS无法打通不同VPC之间的网络。建议参考以下操作完成授权：登录企业主机安全控制台。在单击管理控制台左上角的，选择区域和项目。在左侧导航栏，选择“安装与配置 > 授权管理”，进入授权管理页面。单击授权列表左上方“新增授权”，将VPCOperatePolicy权限授予HSS。关于VPCOperatePolicy权限的含义和作用，请参见授权管理。
从DEW密钥对列表中未查询到此主机密钥对，请检查密钥对是否存在	请检查并将您的DEW密钥对是否存在。
VPCEP打通失败，请检查VPCOperatePolicy授权权限，授权后检查可用ip数量	由于未将VPCEPOperatePolicy权限授予HSS，HSS无法创建终端节点（该节点用于Agent与HSS服务端进行通信）导致安装Agent失败。建议参考以下操作完成授权：登录企业主机安全控制台。在单击管理控制台左上角的，选择区域和项目。在左侧导航栏，选择“安装与配置 > 授权管理”，进入授权管理页面。单击授权列表左上方“新增授权”，将VPCEPOperatePolicy权限授予HSS。关于VPCEPOperatePolicy权限的含义和作用，请参见授权管理。
密钥登录失败，请检查密钥是否正确	属于密钥错误原因，请检查您填写的密钥信息。
安装命令无权限执行	可能原因：/tmp目录不允许执行脚本，或bash没有执行权限等。处理建议：建议您检查上述目录或文件是否具有相应权限。如果具备相应权限仍然安装失败，请您在华为云管理控制台的右上角，单击“工单 > 新建工单”，通过工单向技术人员寻求帮助。
下载安装文件失败，登录到机器上，复制单机安装命令，测试是否可以访问master，如不能访问，排查安全组配置、dns等问题	仅Linux主机会出现此类报错，建议参考以下操作排查安全组、DNS配置。检查安全组登录服务器，执行以下命令，确认服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。 curl -kv https://hss-agent.区域代码.myhuaweicloud.com:10180 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。以“华北-北京一”为例，完整命令示例：curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180 已放通：ping命令执行正常，表示已放通100.125.0.0/16网段的10180端口。未放通：ping命令执行后，界面卡住不动，表示未放通100.125.0.0/16网段的10180端口，请参见添加安全组规则放通该端口。检查DNS配置登录服务器，执行以下命令，确认服务器DNS能否正常解析下载Agent的域名。 ping -c 1 hss-agent.区域代码.myhuaweicloud.com 命令中的区域代码，每个区域不同，各区域代码请参见地区和终端节点。以“华北-北京一”为例，完整命令示例：ping -c 1 hss-agent.cn-north-1.myhuaweicloud.com 解析成功：界面回显解析出的IP，表示DNS解析正常。解析失败：界面回显“name or service not known”或未解析出IP，表示DNS解析失败。请参考修改DNS。
磁盘不足	请检查以下目录，确保磁盘容量充足： Linux /usr/local：Agent默认安装路径，须确保磁盘可用容量大于300MB。 Windows C:\Users\xxx\Downloads：Agent安装包下载路径，须确保磁盘可用容量大于100MB。 C:\Program Files\HostGuard：Agent默认安装路径，须确保磁盘可用容量大于300MB。
从DEW获取密钥对列表为空，请检查是否已进行授权	请检查并确保您的密钥对已在DEW进行托管。如果密钥对已完成托管，安装Agent时HSS仍然提示您未找到托管的私钥，可能是您当前的账号为IAM子账号或委托账号，缺少数据加密服务（DEW）中密钥对管理服务（KPS）相关权限。您可以前往IAM控制台，选择以下任一种方式进行授权：授权方式1 为安装Agent的账号授予DEW KeypairFullAccess权限（密钥对管理服务的所有权限）。账号授权：将鼠标悬停在右上角用户名处。选择“统一身份认证 > 用户 > 搜索需要授权的用户” ，单击用户名。在“所属用户组”处，单击任意一个已加入的用户组。选择“授权记录 > 授权” ，搜索DEW KeypairFullAccess并勾选，单击“下一步” 。单击“确定”。委托账号授权：将鼠标悬停在右上角用户名处。选择“统一身份认证 > 委托”-，搜索hss_policy_trust后，单击委托名称。选择“授权记录 > 授权”，搜索DEW KeypairFullAccess并勾选，单击“下一步 ”。单击“确定”。授权方式2 如果您不希望安装Agent的账号具有删除密钥对等高危权限，您可以创建如下自定义策略，并将该策略授权给安装Agent的账号。具体创建步骤请参见创建自定义策略。授权用户查询、导出密钥对策略： { "Version": "1.1", "Statement": [ { "Action": [ "kps:domainKeypairs:exportpk", "kps:domainKeypairs:list", "kps:domainKeypairs:get" ], "Effect": "Allow } ] 创建策略后，请参考授权方式1进行授权，您仅需要将授权方式1中的DEW KeypairFullAccess修改为自定义策略。
安装异常	请参考以下操作解决问题：登录企业主机安全控制台。在单击管理控制台左上角的，选择区域和项目。在左侧导航栏，选择“安装与配置 > 授权管理”，进入授权管理页面。查看授权列表中是否有VPCEPOperatePolicy、VPCOperatePolicy权限。是：请您在管理控制台的右上角，单击“工单 > 新建工单”，通过工单向技术人员寻求帮助。否：请您单击授权列表左上方“新增授权”，将VPCEPOperatePolicy、VPCOperatePolicy权限授予HSS后，重试安装Agent。关于上述权限的含义和作用，请参见授权管理。
网卡路由冲突不支持打通VPC网络，可通过命令行方式安装或者升级同vpc下的agent版本	由于您服务器的网卡和执行Agent安装的服务器已挂载的弹性网卡存在路由冲突，不支持打通VPC网络，建议通过命令行方式安装Agent。具体操作请参见通过命令行或脚本为华为云主机安装Agent（本账号安装）。
没有相同VPC的最新版本agent在线虚拟机，请使用命令行方式安装或者升级同vpc下的agent版本	请确认待安装Agent的服务器所在VPC下是否已有至少一台Agent在线的服务器。是，执行2。否，通过控制台界面安装Agent时需确保同VPC内至少有一台Agent在线的服务器，因为安装Agent时会选择同VPC内的主机作为执行机，如果没有在线的主机请参考通过命令行或脚本为华为云主机安装Agent（本账号安装）先为1台主机安装Agent。请确认Agent版本是否3.2.13及以上版本。是，重试安装Agent。否，请升级Agent，具体操作请参见升级主机Agent。
安装失败	请重试安装Agent，如果再次显示安装失败，请您在管理控制台的右上角，单击“工单 > 新建工单”，通过工单向技术人员寻求帮助。

通过命令行安装Agent失败

如果您通过“命令行”安装模式（即登录服务器执行命令）安装Agent失败，可参考本节根据执行命令后的界面回显处理问题。

Linux安装Agent失败

问题现象：网络不通，访问超时
图1 网络不通，访问超时

处理建议：请检查网络配置，保证服务器可正常访问网络。
问题现象：没有权限
图2 没有权限

处理建议：执行命令的用户非root用户，请使用root用户登录服务器后，再执行安装命令。
问题现象：域名无法解析
图3 域名无法解析

处理建议：服务器无法访问Agent下载地址，需要配置华为云内网DNS地址。配置具体操作请参考修改DNS。
问题现象：/tmp磁盘不足100MB
图4 /tmp磁盘不足100MB

处理建议：/tmp目录是Agent安装包的下载路径，须确保磁盘可用容量大于100MB。
问题现象：/usr/local磁盘不足300MB
图5 /usr/local磁盘不足300MB

处理建议：/usr/local目录是Agent默认安装路径，须确保磁盘可用容量大于300MB。
问题现象：TLS协议不兼容curl: (35) SSL connect error
处理建议：安装HSS agent，要求TLS为1.2及以上版本。如果TLS版本不满足，请手动将安装命令中的“curl -k -O”替换为“curl --tlsv1.2 -k -O”，重试安装Agent。

以下是命令修改示例，请不要直接使用。
- 修改前的安装命令
   curl -k -O 'https://hss-agent.xxx.myhuaweicloudcom:10180/package/agent/linux/install/agent_Install.sh' && echo 'MASTER_IP=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'SLAVE_IP=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'ORG_ID=' >> hostguard_setup_config.conf && bash agent_Install.sh && rm -f agent_Install.sh
- 修改后的安装命令
   curl --tlsv1.2 -k -O 'https://hss-agent.xxx.myhuaweicloud.com:10180/package/agent/linux/install/agent_Install.sh' && echo 'MASTER_IP=hss-agent.xxx.myhuaweicloud.com:10180' > hostguard_setup_config.conf && echo 'SLAVE_IP=hss-agent-slave.xxx.myhuaweicloud.com:10180' >> hostguard_setup_config.conf && echo 'ORG_ID=' >> hostguard_setup_config.conf && bash agent_Install.sh && rm -f agent_Install.sh
问题现象：在主机后台执行命令安装Agent成功，显示进度100%；但在企业主机安全控制台上主机的Agent状态显示为安装中99%。
处理建议：Linux操作系统云服务器配置了静态IP，重启网络服务后部分Linux操作系统服务器会将原有的169.254.169.254路由替换为169.254.0.0/16路由，后者没有指定下一跳，导致Linux服务器无法获取元数据。您可以请参考如下操作解决问题：
1. 执行以下命令，验证获取元数据的功能异常。
  curl http://169.254.169.254
  
  如果没有返回值表示无法获取元数据。
2. 添加169.254.169.254路由，指定下一跳网关和主网卡，示例：
  ip route add 169.254.169.254 via 192.168.1.1 dev eth0
  
  其中192.168.1.1是主网卡对应子网的网关，eth0是主网卡名称。
3. 执行以下命令，验证获取元数据的功能正常。
  curl http://169.254.169.254
  
  有返回值表示获取元数据正常。
  
  图6 验证获取元数据功能
4. 执行以下命令，创建或修改/etc/sysconfig/network-scripts/route-eth0文件，固化静态路由防止重启失效。
  vi /etc/sysconfig/network-scripts/route-eth0
  
  添加如下内容：
  
  本例以eth0，IP为192.168.1.1为例，请根据实际情况替换对应的网卡和网关IP。
  
  169.254.169.254 via192.168.1.1
5. 执行以下命令，重启Agent。
  service hostguard restart
  
  重启后Agent状态将显示“在线”。

Windows安装Agent失败

使用PowerShell运行脚本后，出现错误提示，请参考以下建议解决问题。

错误提示：username and password cannot be empty
处理建议：批量安装Agent时，准备的“windows-host-list.xlsx”文件中填写的服务器账号或密码信息不正确，请重新核对并进行修改。
错误提示：remote connect failed
处理建议：批量安装Agent时，除了执行脚本的服务器，其他服务器需要设置安全组入方向允许执行脚本的服务器IP访问5985端口。请检查是否有服务器安全组入方向未放通5985端口。添加安全组规则请参见添加安全组规则。
错误提示：download package failed
处理建议：下载安装包失败，服务器无法访问Agent下载地址。请检查安全组、DNS配置。
- 检查安全组：请检查服务器安全组出方向是否放通100.125.0.0/16网段的10180端口。具体请参考修改安全组。
- 检查DNS配置：请检查服务器DNS地址是否为华为云内网DNS。具体请参考修改DNS。
错误提示：hostguard install failed
处理建议：请您在管理控制台的右上角，单击“工单 > 新建工单”，通过工单向技术人员寻求帮助。
错误提示：Invoke-Command：无法对参数“session”执行参数验证。参数为Null或空。请提供一个不为Null或空的参数，然后重试该命令。
处理建议：WinRM服务默认禁用非加密通讯。请参考如下操作，允许非加密通讯。
1. 以Windows系统管理员身份运行PowerShell。
2. 执行如下命令，查看基于HTTP的WinRM是否开启。
  winrm enumerate winrm/config/listener
  
  图7 查看WinRM开启情况
  - 如果存在报错信息，则表示WinRM服务未开启，请执行3。
  - 如果不存在报错信息，则表示WinRM服务已开启，请执行4。
3. 执行如下命令开启WinRM，选择y完成设置。
  winrm quickconfig
  
  图8 开启WinRM
4. 配置Auth。
  1. 执行如下命令，查看Auth信息。
    winrm get winrm/config/service/auth
    
    图9 查看Auth信息
  2. 执行如下命令修改“Basic”的值为“true”。
    当返回值中“Basic”的值为“true”时，无需执行该步骤。
    
    winrm set winrm/config/service/auth '@{Basic="true"}'
5. 配置加密方式为允许非加密。
  1. 执行如下命令，查看client信息。
    winrm get winrm/config/client
    
    图10 查看client信息
    
    当返回值中“AllowUnencrypted”为“false”时，请执行5.b。
  2. 执行如下命令，修改“AllowUnencrypted”为“true”。
    winrm set winrm/config/client '@{AllowUnencrypted="true"}'