文档首页/ 企业主机安全 HSS/ 常见问题/ 容器安全/ CCE集群安装Agent失败
更新时间:2025-12-10 GMT+08:00
查看PDF
分享

CCE集群安装Agent失败

您可以选择通过企业主机安全控制台或云容器引擎(CCE)控制台为集群安装Agent并开启防护,两种方式任选其一即可,无需重复操作。本文为您介绍安装Agent失败的部分案例处理方式。

问题现象

  • 您在企业主机安全控制台容器安装与配置 > 集群页面,为集群安装容器安全Agent时,集群状态显示“接入异常”或“运行异常”。
  • 您在云容器引擎CCE控制台,开启安全服务,显示“防护异常”或“部分防护”。

可能原因一:hostguard守护进程集未就绪

在“工作负载 > 守护进程集”页面,选择“hss”命名空间,查看“hostguard”状态为“未就绪”。您可以单击“修复建议”,查看具体的修复建议。

如下提供一种典型问题的处理方案:

可能问题:集群配置了特殊的PSP策略,禁止特权容器启动。例如CCE集群创建时,默认会配置psp-global、psp-system。

解决办法:建议检查集群是否配置了特殊的PSP策略,导致无法启动特权容器。请修改允许“hostguard”特权启动。

可能原因二:hostguard守护进程集正常运行,但HSS无法获取Agent状态

工作负载 > 守护进程集页面,选择“hss”命名空间,查看“hostguard”状态为“运行中”。在企业主机安全主机管理或容器管理页面,查看对应集群节点的Agent状态,显示“未安装”。

请按以下操作排查并处理问题:
  1. 请执行如下命令检查hostguard相关进程和连接。
    • 检查hostguard进程是否启动。 
      ps -ef | grep hostguard

      回显中存在hostguard和hostwatch,表示进程已启动。如无相关进程,请执行2

    • 检查集群与hostguard是否已建立连接。 
      ss -antp | grep hostguard

      回显中存在hostguard,表示连接已建立。如无相关回显,请执行2

    • 检查默认防护策略是否已下发。 
      ll /usr/local/hostguard/policy

      回显中有assetmanage_collect.policy等策略,表示策略已下发。如无相关策略,请继续执行2

  2. 登录任一节点,执行如下命令查看hostguard.log文件。 
    /var/log/hostguard/hostguard.log
    • 如果出现如图2所示错误,表示域名无法解析。
      请参考修改DNS页面中提供的修改DNS方式,配置华为云内网DNS地址。
      图2 域名无法解析
父主题: 容器安全

相关文档