简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

工作负载安全代理安装

10/14/2025 贡献者

PDF

工作负载安全（以前称为Cloud Secure）使用一个或多个代理收集用户活动数据。代理连接到租户上的设备并收集发送到工作负载安全 SaaS 层进行分析的数据。看"代理要求"配置代理虚拟机。

开始之前

安装、运行脚本和卸载都需要 sudo 权限。
安装代理时，会在机器上创建本地用户_cssys_和本地组_cssys_。如果权限设置不允许创建本地用户，而是需要 Active Directory，则必须在 Active Directory 服务器中创建用户名为 cssys 的用户。
您可以阅读有关Data Infrastructure Insights安全性的文章"此处"。

全局变化可能会对您的ONTAP系统产生潜在影响。强烈建议在非高峰时段进行影响大量数据收集器的更改。

安装代理的步骤

以管理员或帐户所有者的身份登录到您的工作负载安全环境。
选择*收藏家>代理>+代理*

系统显示“添加代理”页面：
验证代理服务器是否满足最低系统要求。
要验证代理服务器是否正在运行受支持的 Linux 版本，请单击_支持的版本 (i)_。
如果您的网络使用代理服务器，请按照代理部分中的说明设置代理服务器详细信息。
单击“复制到剪贴板”图标以复制安装命令。
在终端窗口中运行安装命令。
安装成功完成后系统显示以下消息：

完成后

您需要配置一个"用户目录收集器"。
您需要配置一个或多个数据收集器。

网络配置

在本地系统上运行以下命令以打开工作负载安全将使用的端口。如果对端口范围存在安全问题，则可以使用较小的端口范围，例如 35000:35100。每个 SVM 使用两个端口。

步骤

sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
sudo firewall-cmd --reload

根据您的平台执行以下步骤：

CentOS 7.x / RHEL 7.x：

sudo iptables-save | grep 35000

示例输出：

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
CentOS 8.x / RHEL 8.x：

sudo firewall-cmd --zone=public --list-ports | grep 35000（适用于 CentOS 8）

示例输出：

35000-55000/tcp

将代理“固定”在当前版本

默认情况下，Data Infrastructure Insights工作负载安全会自动更新代理。一些客户可能希望暂停自动更新，这将使代理保持其当前版本，直到发生以下情况之一：

客户恢复自动代理更新。
30天过去了。请注意，30 天从最近一次代理更新之日开始，而不是从代理暂停之日开始。

在每种情况下，代理都将在下一次工作负载安全刷新时更新。

要暂停或恢复自动代理更新，请使用 cloudsecure_config.agents API：

用于固定和取消固定代理的 cloudsecure 代理 API

请注意，暂停或恢复操作可能需要最多五分钟才能生效。

您可以在“工作负载安全 > 收集器”页面的“代理”选项卡中查看当前的代理版本。

代理表中显示的 WS 代理版本

代理错误故障排除

下表描述了已知问题及其解决方法。

问题：解决：

问题：	解决：
代理安装无法创建 /opt/netapp/cloudsecure/agent/logs/agent.log 文件夹，并且 install.log 文件未提供相关信息。	此错误发生在代理引导期间。该错误未记录在日志文件中，因为它发生在记录器初始化之前。错误被重定向到标准输出，并可使用以下方式在服务日志中查看 `journalctl -u cloudsecure-agent.service`命令。此命令可用于进一步解决问题。est
代理安装失败，并显示“不支持此 Linux 发行版”。退出安装”。	当您尝试在不受支持的系统上安装代理时会出现此错误。看"代理要求" 。
代理安装失败，错误为：“-bash：unzip：未找到命令”	安装unzip然后再次运行安装命令。如果机器上安装了 Yum，请尝试“yum install unzip”来安装解压缩软件。之后，从代理安装 UI 重新复制命令并将其粘贴到 CLI 中以再次执行安装。
代理已安装并正在运行。然而代理却突然停止了。	通过 SSH 连接到代理机器。通过以下方式检查代理服务的状态 `sudo systemctl status cloudsecure-agent.service`。1.检查日志是否显示消息“无法启动工作负载安全守护程序服务”。2.检查代理机器中是否存在 cssys 用户。以root权限逐个执行以下命令，并检查cssys用户和组是否存在。 `sudo id cssys` sudo groups cssys`3.如果不存在，则集中监控策略可能已删除 cssys 用户。4.通过执行以下命令手动创建 cssys 用户和组。 `sudo useradd cssys sudo groupadd cssys`5.然后通过执行以下命令重新启动代理服务： `sudo systemctl restart cloudsecure-agent.service 6.如果仍然无法运行，请检查其他故障排除选项。
无法向代理添加超过 50 个数据收集器。	一个代理只能添加 50 个数据收集器。这可以是所有收集器类型的组合，例如 Active Directory、SVM 和其他收集器。
UI 显示代理处于 NOT_CONNECTED 状态。	重新启动代理的步骤。1.通过 SSH 连接到代理机器。2.然后通过执行以下命令重新启动代理服务： `sudo systemctl restart cloudsecure-agent.service` 3.通过以下方式检查代理服务的状态 `sudo systemctl status cloudsecure-agent.service`。4.代理应进入 CONNECTED 状态。
代理 VM 位于 Zscaler 代理后面，并且代理安装失败。由于 Zscaler 代理的 SSL 检查，工作负载安全证书以由 Zscaler CA 签名的形式呈现，因此代理不信任该通信。	在 Zscaler 代理中禁用 *.cloudinsights.netapp.com url 的 SSL 检查。如果 Zscaler 进行 SSL 检查并替换证书，Workload Security 将不起作用。
安装代理时，解压后安装在挂起。	“chmod 755 -Rf”命令失败。当代理安装命令由非 root sudo 用户运行，且工作目录中有属于另一个用户的文件，并且这些文件的权限无法更改时，命令将失败。由于 chmod 命令失败，其余安装无法执行。1.创建一个名为“cloudsecure”的新目录。2.转到该目录。3.复制并粘贴完整的“token=…… … ./cloudsecure-agent-install.sh”安装命令并按回车键。4.安装应该可以继续。
如果代理仍然无法连接到 Saas，请向NetApp支持部门提交案例。提供Data Infrastructure Insights序列号以打开案例，并按照说明将日志附加到案例中。	将日志附加到案例：1.使用 root 权限执行以下脚本并共享输出文件（cloudsecure-agent-symptoms.zip）。a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2.使用 root 权限逐个执行以下命令并共享输出。a. id cssys b. groups cssys c. cat /etc/os-release
cloudsecure-agent-symptom-collector.sh 脚本失败并出现以下错误。 [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 收集服务日志收集应用程序日志收集代理配置拍摄服务状态快照拍摄代理目录结构快照…………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：第 52 行：zip：未找到命令错误：无法创建 /tmp/cloudsecure-agent-symptoms.zip	Zip 工具未安装..通过运行命令“yum install zip”安装zip工具。然后再次运行cloudsecure-agent-symptom-collector.sh。
代理安装因 useradd 而失败：无法创建目录 /home/cssys	如果由于缺乏权限而无法在 /home 下创建用户的登录目录，则可能会发生此错误。解决方法是创建 cssys 用户并使用以下命令手动添加其登录目录：sudo useradd user_name -m -d HOME_DIR -m：如果不存在，则创建用户的主目录。 -d ：使用 HOME_DIR 作为用户登录目录的值来创建新用户。例如，sudo useradd cssys -m -d /cssys，添加用户 cssys 并在根目录下创建其登录目录。
安装后代理未运行。 Systemctl status cloudsecure-agent.service 显示以下内容：[root@demo ~]# systemctl status cloudsecure-agent.service agent.service – 工作负载安全代理守护进程服务已加载：已加载（/usr/lib/systemd/system/cloudsecure-agent.service；已启用；供应商预设：已禁用）活动：正在激活（自动重启）（结果：退出代码）自 2021 年 8 月 3 日星期二 21:12:26 PDT 起； 2 秒前进程：25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent（代码=exited status=126）主 PID：25889（代码=exited，状态=126），8 月 3 日 21:12:26 demo systemd[1]：cloudsecure-agent.service：主进程已退出，代码=exited，状态=126/n/a 8 月 3 日 21:12:26 demo systemd[1]：单元 cloudsecure-agent.service 进入失败状态。 8 月 3 日 21:12:26 demo systemd[1]: cloudsecure-agent.service 失败。	这可能会失败，因为_cssys_用户可能没有安装权限。如果 /opt/netapp 是 NFS 挂载，并且 cssys 用户无权访问此文件夹，则安装将失败。 cssys 是由 Workload Security 安装程序创建的本地用户，可能没有权限访问已安装的共享。您可以尝试使用 cssys 用户访问 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent 来检查这一点。如果返回“权限被拒绝”，则表示不存在安装权限。不要安装在已安装的文件夹中，而是安装在机器本地的目录中。
代理最初通过代理服务器连接，并且代理是在代理安装期间设置的。现在代理服务器已经改变。如何更改代理的代理配置？	您可以编辑 agent.properties 来添加代理详细信息。请遵循以下步骤：1.更改为包含属性文件的文件夹：cd /opt/netapp/cloudsecure/conf 2.使用您最喜欢的文本编辑器，打开_agent.properties_文件进行编辑。3.添加或修改以下行：AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4.保存文件。5.重新启动代理：sudo systemctl restart cloudsecure-agent.service

代理安装无法创建 /opt/netapp/cloudsecure/agent/logs/agent.log 文件夹，并且 install.log 文件未提供相关信息。

此错误发生在代理引导期间。该错误未记录在日志文件中，因为它发生在记录器初始化之前。错误被重定向到标准输出，并可使用以下方式在服务日志中查看 `journalctl -u cloudsecure-agent.service`命令。此命令可用于进一步解决问题。est

代理安装失败，并显示“不支持此 Linux 发行版”。退出安装”。

当您尝试在不受支持的系统上安装代理时会出现此错误。看"代理要求" 。

代理安装失败，错误为：“-bash：unzip：未找到命令”

安装unzip然后再次运行安装命令。如果机器上安装了 Yum，请尝试“yum install unzip”来安装解压缩软件。之后，从代理安装 UI 重新复制命令并将其粘贴到 CLI 中以再次执行安装。

代理已安装并正在运行。然而代理却突然停止了。

通过 SSH 连接到代理机器。通过以下方式检查代理服务的状态 sudo systemctl status cloudsecure-agent.service。1.检查日志是否显示消息“无法启动工作负载安全守护程序服务”。2.检查代理机器中是否存在 cssys 用户。以root权限逐个执行以下命令，并检查cssys用户和组是否存在。
sudo id cssys
sudo groups cssys`3.如果不存在，则集中监控策略可能已删除 cssys 用户。4.通过执行以下命令手动创建 cssys 用户和组。 `sudo useradd cssys
sudo groupadd cssys`5.然后通过执行以下命令重新启动代理服务： `sudo systemctl restart cloudsecure-agent.service 6.如果仍然无法运行，请检查其他故障排除选项。

无法向代理添加超过 50 个数据收集器。

一个代理只能添加 50 个数据收集器。这可以是所有收集器类型的组合，例如 Active Directory、SVM 和其他收集器。

UI 显示代理处于 NOT_CONNECTED 状态。

重新启动代理的步骤。1.通过 SSH 连接到代理机器。2.然后通过执行以下命令重新启动代理服务：
sudo systemctl restart cloudsecure-agent.service 3.通过以下方式检查代理服务的状态 sudo systemctl status cloudsecure-agent.service。4.代理应进入 CONNECTED 状态。

代理 VM 位于 Zscaler 代理后面，并且代理安装失败。由于 Zscaler 代理的 SSL 检查，工作负载安全证书以由 Zscaler CA 签名的形式呈现，因此代理不信任该通信。

在 Zscaler 代理中禁用 *.cloudinsights.netapp.com url 的 SSL 检查。如果 Zscaler 进行 SSL 检查并替换证书，Workload Security 将不起作用。

安装代理时，解压后安装在挂起。

“chmod 755 -Rf”命令失败。当代理安装命令由非 root sudo 用户运行，且工作目录中有属于另一个用户的文件，并且这些文件的权限无法更改时，命令将失败。由于 chmod 命令失败，其余安装无法执行。1.创建一个名为“cloudsecure”的新目录。2.转到该目录。3.复制并粘贴完整的“token=…… … ./cloudsecure-agent-install.sh”安装命令并按回车键。4.安装应该可以继续。

如果代理仍然无法连接到 Saas，请向NetApp支持部门提交案例。提供Data Infrastructure Insights序列号以打开案例，并按照说明将日志附加到案例中。

将日志附加到案例：1.使用 root 权限执行以下脚本并共享输出文件（cloudsecure-agent-symptoms.zip）。a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2.使用 root 权限逐个执行以下命令并共享输出。a. id cssys b. groups cssys c. cat /etc/os-release

cloudsecure-agent-symptom-collector.sh 脚本失败并出现以下错误。 [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 收集服务日志收集应用程序日志收集代理配置拍摄服务状态快照拍摄代理目录结构快照…………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：第 52 行：zip：未找到命令错误：无法创建 /tmp/cloudsecure-agent-symptoms.zip

Zip 工具未安装..通过运行命令“yum install zip”安装zip工具。然后再次运行cloudsecure-agent-symptom-collector.sh。

代理安装因 useradd 而失败：无法创建目录 /home/cssys

如果由于缺乏权限而无法在 /home 下创建用户的登录目录，则可能会发生此错误。解决方法是创建 cssys 用户并使用以下命令手动添加其登录目录：sudo useradd user_name -m -d HOME_DIR -m：如果不存在，则创建用户的主目录。 -d ：使用 HOME_DIR 作为用户登录目录的值来创建新用户。例如，sudo useradd cssys -m -d /cssys，添加用户 cssys 并在根目录下创建其登录目录。

安装后代理未运行。 Systemctl status cloudsecure-agent.service 显示以下内容：[root@demo ~]# systemctl status cloudsecure-agent.service agent.service – 工作负载安全代理守护进程服务已加载：已加载（/usr/lib/systemd/system/cloudsecure-agent.service；已启用；供应商预设：已禁用）活动：正在激活（自动重启）（结果：退出代码）自 2021 年 8 月 3 日星期二 21:12:26 PDT 起； 2 秒前进程：25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent（代码=exited status=126）主 PID：25889（代码=exited，状态=126），8 月 3 日 21:12:26 demo systemd[1]：cloudsecure-agent.service：主进程已退出，代码=exited，状态=126/n/a 8 月 3 日 21:12:26 demo systemd[1]：单元 cloudsecure-agent.service 进入失败状态。 8 月 3 日 21:12:26 demo systemd[1]: cloudsecure-agent.service 失败。

这可能会失败，因为_cssys_用户可能没有安装权限。如果 /opt/netapp 是 NFS 挂载，并且 cssys 用户无权访问此文件夹，则安装将失败。 cssys 是由 Workload Security 安装程序创建的本地用户，可能没有权限访问已安装的共享。您可以尝试使用 cssys 用户访问 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent 来检查这一点。如果返回“权限被拒绝”，则表示不存在安装权限。不要安装在已安装的文件夹中，而是安装在机器本地的目录中。

代理最初通过代理服务器连接，并且代理是在代理安装期间设置的。现在代理服务器已经改变。如何更改代理的代理配置？

您可以编辑 agent.properties 来添加代理详细信息。请遵循以下步骤：1.更改为包含属性文件的文件夹：cd /opt/netapp/cloudsecure/conf 2.使用您最喜欢的文本编辑器，打开_agent.properties_文件进行编辑。3.添加或修改以下行：AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4.保存文件。5.重新启动代理：sudo systemctl restart cloudsecure-agent.service