本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

工作負載安全代理安裝

10/14/2025 貢獻者

PDF

工作負載安全性（以前稱為Cloud Secure）使用一個或多個代理程式收集使用者活動資料。代理連接到租戶上的設備並收集發送到工作負載安全 SaaS 層進行分析的資料。看"代理要求"配置代理虛擬機器。

開始之前

安裝、執行腳本和解除安裝都需要 sudo 權限。
安裝代理程式時，會在機器上建立本機使用者_cssys_和本機群組_cssys_。如果權限設定不允許建立本機用戶，而是需要 Active Directory，則必須在 Active Directory 伺服器中建立使用者名為 cssys 的使用者。
您可以閱讀有關Data Infrastructure Insights安全性的文章"這裡"。

全域變化可能會對您的ONTAP系統產生潛在影響。強烈建議在非尖峰時段進行影響大量資料收集器的變更。

安裝代理的步驟

以管理員或帳戶擁有者的身分登入您的工作負載安全環境。
選擇*收藏家>代理商>+代理商*

系統顯示「新增代理」頁面：
驗證代理伺服器是否符合最低系統要求。
若要驗證代理伺服器是否正在執行支援的 Linux 版本，請按一下_支援的版本 (i)_。
如果您的網路使用代理伺服器，請按照代理程式部分中的說明設定代理伺服器詳細資訊。
按一下「複製到剪貼簿」圖示以複製安裝命令。
在終端機視窗中執行安裝命令。
安裝成功完成後系統顯示以下訊息：

完成後

您需要配置一個"使用者目錄收集器"。
您需要配置一個或多個資料收集器。

網路設定

在本機系統上執行下列命令以開啟工作負載安全性將使用的連接埠。如果對連接埠範圍有安全性問題，則可以使用較小的連接埠範圍，例如 35000:35100。每個 SVM 使用兩個連接埠。

步驟

sudo firewall-cmd --permanent --zone=public --add-port=35000-55000/tcp
sudo firewall-cmd --reload

根據您的平台執行以下步驟：

CentOS 7.x / RHEL 7.x：

sudo iptables-save | grep 35000

範例輸出：

 -A IN_public_allow -p tcp -m tcp --dport 35000:55000 -m conntrack -ctstate NEW,UNTRACKED -j ACCEPT
CentOS 8.x / RHEL 8.x：

sudo firewall-cmd --zone=public --list-ports | grep 35000（適用於 CentOS 8）

範例輸出：

35000-55000/tcp

將代理程式“固定”在目前版本

預設情況下，Data Infrastructure Insights工作負載安全性會自動更新代理程式。一些客戶可能希望暫停自動更新，這將使代理商保持其當前版本，直到發生以下情況之一：

客戶恢復自動代理更新。
30天過去了。請注意，30 天從最近一次代理更新之日開始，而不是從代理暫停之日開始。

在每種情況下，代理程式都會在下一次工作負載安全刷新時更新。

若要暫停或恢復自動代理更新，請使用 cloudsecure_config.agents API：

用於固定和取消固定代理程式的 cloudsecure 代理程式 API

請注意，暫停或恢復操作可能需要最多五分鐘才能生效。

您可以在「工作負載安全性 > 收集器」頁面的「代理」標籤中查看目前代理程式版本。

代理表中顯示的 WS 代理程式版本

代理錯誤故障排除

下表描述了已知問題及其解決方法。

問題：解決：

問題：	解決：
代理程式安裝無法建立 /opt/netapp/cloudsecure/agent/logs/agent.log 資料夾，且 install.log 檔案未提供相關資訊。	此錯誤發生在代理引導期間。該錯誤未記錄在日誌檔案中，因為它發生在記錄器初始化之前。錯誤被重定向到標準輸出，並可使用以下方式在服務日誌中查看 `journalctl -u cloudsecure-agent.service`命令。此命令可用於進一步解決問題。 est
代理安裝失敗，並顯示「不支援此 Linux 發行版」。退出安裝」。	當您嘗試在不支援的系統上安裝代理程式時會出現此錯誤。看"代理要求" 。
代理安裝失敗，錯誤為：“-bash：unzip：未找到命令”	安裝unzip然後再次執行安裝命令。如果機器上安裝了 Yum，請嘗試「yum install unzip」來安裝解壓縮軟體。之後，從代理安裝 UI 重新複製命令並將其貼上到 CLI 中以再次執行安裝。
代理程式已安裝並正在運行。然而代理卻突然停止了。	透過 SSH 連接到代理機器。透過以下方式檢查代理服務的狀態 `sudo systemctl status cloudsecure-agent.service`。1.檢查日誌是否顯示訊息「無法啟動工作負載安全守護程序服務」。2.檢查代理機器中是否存在 cssys 使用者。以root權限逐一執行以下指令，並檢查cssys使用者和群組是否存在。 `sudo id cssys` sudo groups cssys`3.如果不存在，則集中監控策略可能已刪除 cssys 使用者。4.透過執行以下命令手動建立 cssys 使用者和群組。 `sudo useradd cssys sudo groupadd cssys`5.然後透過執行以下命令重新啟動代理服務： `sudo systemctl restart cloudsecure-agent.service 6.如果仍然無法運行，請檢查其他故障排除選項。
無法為代理程式新增超過 50 個資料收集器。	一個代理只能增加 50 個資料收集器。這可以是所有收集器類型的組合，例如 Active Directory、SVM 和其他收集器。
UI 顯示代理程式處於 NOT_CONNECTED 狀態。	重新啟動代理程式的步驟。1.透過 SSH 連接到代理機器。2.然後透過執行以下命令重新啟動代理服務： `sudo systemctl restart cloudsecure-agent.service` 3.透過以下方式檢查代理服務的狀態 `sudo systemctl status cloudsecure-agent.service`。4.代理應進入 CONNECTED 狀態。
代理 VM 位於 Zscaler 代理程式後面，且代理安裝失敗。由於 Zscaler 代理程式的 SSL 檢查，工作負載安全性憑證以 Zscaler CA 簽署的形式呈現，因此代理程式不信任該通訊。	停用 Zscaler 代理程式中 *.cloudinsights.netapp.com url 的 SSL 檢查。如果 Zscaler 進行 SSL 檢查並替換證書，工作負載安全將無法運作。
安裝代理程式時，解壓縮後安裝在掛起。	“chmod 755 -Rf”指令失敗。當代理安裝指令由非 root sudo 使用者執行，且工作目錄中有屬於另一個使用者的文件，且這些文件的權限無法變更時，指令將會失敗。由於 chmod 指令失敗，其餘安裝無法執行。1.建立一個名為「cloudsecure」的新目錄。2.轉到該目錄。3.複製並貼上完整的「token=… … ./cloudsecure-agent-install.sh」安裝指令並按下回車鍵。4.安裝應該可以繼續。
如果代理程式仍然無法連線到 Saas，請向NetApp支援部門提交案例。提供Data Infrastructure Insights序號以開啟案例，並按照說明將日誌附加到案例中。	將日誌附加到案例：1.使用 root 權限執行以下腳本並共用輸出檔案（cloudsecure-agent-symptoms.zip）。 a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2.使用 root 權限逐一執行以下命令並共用輸出。 a. id cssys b. groups cssys c. cat /etc/os-release
cloudsecure-agent-symptom-collector.sh 腳本失敗並出現下列錯誤。 [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 收集服務日誌收集應用程式日誌收集代理程式設定拍攝服務狀態快照拍攝代理目錄結構快照………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：第 52 行：zip：未找到指令錯誤：無法建立 /tmp/cloudsecure-agent-symptoms.zip	Zip 工具未安裝..透過執行指令“yum install zip”安裝zip工具。然後再次運行cloudsecure-agent-symptom-collector.sh。
代理安裝因 useradd 而失敗：無法建立目錄 /home/cssys	如果由於缺乏權限而無法在 /home 下建立使用者的登入目錄，則可能會發生此錯誤。解決方法是建立 cssys 使用者並使用以下命令手動新增其登入目錄：sudo useradd user_name -m -d HOME_DIR -m：如果不存在，則建立使用者的主目錄。 -d ：使用 HOME_DIR 作為使用者登入目錄的值來建立新使用者。例如，sudo useradd cssys -m -d /cssys，新增使用者 cssys 並在根目錄下建立其登入目錄。
安裝後代理未運行。 Systemctl status cloudsecure-agent.service 顯示以下內容：[root@demo ~]# systemctl status cloudsecure-agent.service agent.service – 工作負載安全代理守護程序服務已載入：已載入（/usr/lib/systemd/system/cloudsecure-agent. 啟用2021 年 8 月 3 日星期二 21:12:26 PDT 起；2 秒前進程：25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent（代碼=exited status=126）主21:12:26 demo systemd[1]：cloudsecure-agent.service：主進程已退出，代碼=exited，狀態=126/n/a 8 月 3 日 21:12:26 demo systemd[1]：單元 cloudsecure-agent.service 進入失敗狀態。 8 月 3 日 21:12:26 demo systemd[1]: cloudsecure-agent.service 失敗。	這可能會失敗，因為_cssys_使用者可能沒有安裝權限。如果 /opt/netapp 是 NFS 掛載，且 cssys 使用者無權存取此資料夾，則安裝將失敗。 cssys 是由 Workload Security 安裝程式建立的本機用戶，可能沒有權限存取已安裝的共用。您可以嘗試使用 cssys 使用者存取 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent 來檢查這一點。如果傳回“權限被拒絕”，則表示不存在安裝權限。不要安裝在已安裝的資料夾中，而是安裝在機器本機的目錄中。
代理最初透過代理伺服器連接，並且代理程式是在代理安裝期間設定的。現在代理伺服器已經改變。如何更改代理的代理配置？	您可以編輯 agent.properties 來新增代理詳細資訊。請遵循以下步驟：1.變更為包含屬性檔案的資料夾：cd /opt/netapp/cloudsecure/conf 2.使用您喜歡的文字編輯器，開啟_agent.properties_檔案進行編輯。3.新增或修改下列一行：AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4.儲存文件。5.重新啟動代理程式：sudo systemctl restart cloudsecure-agent.service

代理程式安裝無法建立 /opt/netapp/cloudsecure/agent/logs/agent.log 資料夾，且 install.log 檔案未提供相關資訊。

此錯誤發生在代理引導期間。該錯誤未記錄在日誌檔案中，因為它發生在記錄器初始化之前。錯誤被重定向到標準輸出，並可使用以下方式在服務日誌中查看 `journalctl -u cloudsecure-agent.service`命令。此命令可用於進一步解決問題。 est

代理安裝失敗，並顯示「不支援此 Linux 發行版」。退出安裝」。

當您嘗試在不支援的系統上安裝代理程式時會出現此錯誤。看"代理要求" 。

代理安裝失敗，錯誤為：“-bash：unzip：未找到命令”

安裝unzip然後再次執行安裝命令。如果機器上安裝了 Yum，請嘗試「yum install unzip」來安裝解壓縮軟體。之後，從代理安裝 UI 重新複製命令並將其貼上到 CLI 中以再次執行安裝。

代理程式已安裝並正在運行。然而代理卻突然停止了。

透過 SSH 連接到代理機器。透過以下方式檢查代理服務的狀態 sudo systemctl status cloudsecure-agent.service。1.檢查日誌是否顯示訊息「無法啟動工作負載安全守護程序服務」。2.檢查代理機器中是否存在 cssys 使用者。以root權限逐一執行以下指令，並檢查cssys使用者和群組是否存在。
sudo id cssys
sudo groups cssys`3.如果不存在，則集中監控策略可能已刪除 cssys 使用者。4.透過執行以下命令手動建立 cssys 使用者和群組。 `sudo useradd cssys
sudo groupadd cssys`5.然後透過執行以下命令重新啟動代理服務： `sudo systemctl restart cloudsecure-agent.service 6.如果仍然無法運行，請檢查其他故障排除選項。

無法為代理程式新增超過 50 個資料收集器。

一個代理只能增加 50 個資料收集器。這可以是所有收集器類型的組合，例如 Active Directory、SVM 和其他收集器。

UI 顯示代理程式處於 NOT_CONNECTED 狀態。

重新啟動代理程式的步驟。1.透過 SSH 連接到代理機器。2.然後透過執行以下命令重新啟動代理服務：
sudo systemctl restart cloudsecure-agent.service 3.透過以下方式檢查代理服務的狀態 sudo systemctl status cloudsecure-agent.service。4.代理應進入 CONNECTED 狀態。

代理 VM 位於 Zscaler 代理程式後面，且代理安裝失敗。由於 Zscaler 代理程式的 SSL 檢查，工作負載安全性憑證以 Zscaler CA 簽署的形式呈現，因此代理程式不信任該通訊。

停用 Zscaler 代理程式中 *.cloudinsights.netapp.com url 的 SSL 檢查。如果 Zscaler 進行 SSL 檢查並替換證書，工作負載安全將無法運作。

安裝代理程式時，解壓縮後安裝在掛起。

“chmod 755 -Rf”指令失敗。當代理安裝指令由非 root sudo 使用者執行，且工作目錄中有屬於另一個使用者的文件，且這些文件的權限無法變更時，指令將會失敗。由於 chmod 指令失敗，其餘安裝無法執行。1.建立一個名為「cloudsecure」的新目錄。2.轉到該目錄。3.複製並貼上完整的「token=… … ./cloudsecure-agent-install.sh」安裝指令並按下回車鍵。4.安裝應該可以繼續。

如果代理程式仍然無法連線到 Saas，請向NetApp支援部門提交案例。提供Data Infrastructure Insights序號以開啟案例，並按照說明將日誌附加到案例中。

將日誌附加到案例：1.使用 root 權限執行以下腳本並共用輸出檔案（cloudsecure-agent-symptoms.zip）。 a. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 2.使用 root 權限逐一執行以下命令並共用輸出。 a. id cssys b. groups cssys c. cat /etc/os-release

cloudsecure-agent-symptom-collector.sh 腳本失敗並出現下列錯誤。 [root@machine tmp]# /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh 收集服務日誌收集應用程式日誌收集代理程式設定拍攝服務狀態快照拍攝代理目錄結構快照………………. …………………. /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent-symptom-collector.sh：第 52 行：zip：未找到指令錯誤：無法建立 /tmp/cloudsecure-agent-symptoms.zip

Zip 工具未安裝..透過執行指令“yum install zip”安裝zip工具。然後再次運行cloudsecure-agent-symptom-collector.sh。

代理安裝因 useradd 而失敗：無法建立目錄 /home/cssys

如果由於缺乏權限而無法在 /home 下建立使用者的登入目錄，則可能會發生此錯誤。解決方法是建立 cssys 使用者並使用以下命令手動新增其登入目錄：sudo useradd user_name -m -d HOME_DIR -m：如果不存在，則建立使用者的主目錄。 -d ：使用 HOME_DIR 作為使用者登入目錄的值來建立新使用者。例如，sudo useradd cssys -m -d /cssys，新增使用者 cssys 並在根目錄下建立其登入目錄。

安裝後代理未運行。 Systemctl status cloudsecure-agent.service 顯示以下內容：[root@demo ~]# systemctl status cloudsecure-agent.service agent.service – 工作負載安全代理守護程序服務已載入：已載入（/usr/lib/systemd/system/cloudsecure-agent. 啟用2021 年 8 月 3 日星期二 21:12:26 PDT 起；2 秒前進程：25889 ExecStart=/bin/bash /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent（代碼=exited status=126）主21:12:26 demo systemd[1]：cloudsecure-agent.service：主進程已退出，代碼=exited，狀態=126/n/a 8 月 3 日 21:12:26 demo systemd[1]：單元 cloudsecure-agent.service 進入失敗狀態。 8 月 3 日 21:12:26 demo systemd[1]: cloudsecure-agent.service 失敗。

這可能會失敗，因為_cssys_使用者可能沒有安裝權限。如果 /opt/netapp 是 NFS 掛載，且 cssys 使用者無權存取此資料夾，則安裝將失敗。 cssys 是由 Workload Security 安裝程式建立的本機用戶，可能沒有權限存取已安裝的共用。您可以嘗試使用 cssys 使用者存取 /opt/netapp/cloudsecure/agent/bin/cloudsecure-agent 來檢查這一點。如果傳回“權限被拒絕”，則表示不存在安裝權限。不要安裝在已安裝的資料夾中，而是安裝在機器本機的目錄中。

代理最初透過代理伺服器連接，並且代理程式是在代理安裝期間設定的。現在代理伺服器已經改變。如何更改代理的代理配置？

您可以編輯 agent.properties 來新增代理詳細資訊。請遵循以下步驟：1.變更為包含屬性檔案的資料夾：cd /opt/netapp/cloudsecure/conf 2.使用您喜歡的文字編輯器，開啟_agent.properties_檔案進行編輯。3.新增或修改下列一行：AGENT_PROXY_HOST=scspa1950329001.vm.netapp.com AGENT_PROXY_PORT=80 AGENT_PROXY_USER=pxuser AGENT_PROXY_PASSWORD=pass1234 4.儲存文件。5.重新啟動代理程式：sudo systemctl restart cloudsecure-agent.service