サーバを信頼するようにゲスト エージェントを構成する最も安全な方法は、vRealize Automation Manager Service Host のパブリック キーの PEM ファイルを正しいゲスト エージェント フォルダにインストールすることです。

以下に示したのは各テンプレートのゲスト エージェント フォルダの場所です。ここに Manager Service Host の PEM ファイル (cert.pem) をインストールすることによってサーバを信頼します。

  • gugent を使用する各テンプレートの Windows ゲスト エージェント フォルダ

    C:\VRMGuestAgent\cert.pem
  • gugent を使用する各テンプレートの Linux ゲスト エージェント フォルダ

    /usr/share/gugent/cert.pem

    この場所に cert.pem ファイルを置かなかった場合、テンプレートのリファレンス マシンがゲスト エージェントを使用できません。たとえば、スクリプトを変更することによって仮想マシンの起動後にパブリック キーの情報を収集しようとした場合、セキュリティ条件の違反となります。

注:

信頼済みの cert.pem ファイルのデータを初回使用時に取り込むようにゲスト エージェントを構成する方法もありますが、この方法は、cert.pem ファイルを各テンプレートに手動でインストールした場合と比べてセキュリティが低くなります。複数のサーバに対して単一のテンプレートを使用する場合は、この方法を検討してください。最初に接続したサーバを信頼するようにゲスト エージェントを設定するには、VRMGuestAgent(Windows の場合)または /usr/share/gugent(Linux の場合)ディレクトリに cert.pem ファイルがない状態でテンプレートを作成してください。ゲスト エージェントは、初めてサーバに接続するときに cert.pem ファイルにデータを取り込みます。

ご利用の環境の構成によっては、さらに別の考慮事項があります。

  • WIM インストールの場合、パブリック キーの PEM ファイルの内容を PEBuilder コンソールの実行可能プログラムとユーザー インターフェイスに追加する必要があります。コンソール フラグは /cert filename 形式で指定します。

  • RedHat キックスタート インストールの場合、パブリック キーを切り取ってサンプル ファイルに貼り付ける必要があります。それ以外の場合、ゲスト エージェントの実行に失敗します。

  • SCCM インストールの場合、cert.pem ファイルが VRMGuestAgent フォルダに格納されている必要があります。

  • Linux vSphere インストールの場合、cert.pem ファイルが /usr/share/gugent フォルダに格納されている必要があります。

注:

ソフトウェアとゲスト エージェントを一緒にインストールすることもできます。その場合は、以下のスクリプトを https://APPLIANCE/software/index.html からダウンロードしてください。テンプレートを作成する際、SSL 証明書のフィンガープリントの受け入れをこのスクリプトで処理できます。

  • Linux

    prepare_vra_template.sh

  • Windows

    prepare_vra_template.ps1

ソフトウェアとゲスト エージェントを一緒にインストールした場合、Linux リファレンス マシンへのゲスト エージェントのインストールWindows リファレンス マシンへのゲスト エージェントのインストールの手順を実行する必要はありません。

このテンプレートは、それ自体が接続する最初のシステムを常に信頼します。Windows の VRMGuestAgent ディレクトリまたは Linux の /usr/share/gugent ディレクトリに cert.pem ファイルが保存されている場合、セキュリティ上、証明書のチェックがゲスト エージェントによって実行されません。サーバ証明書が変更された場合は、ご自身で cert.pem ファイルを VRMGuestAgent(Windows の場合)ディレクトリまたは /usr/share/gugent(Linux の場合)ディレクトリから削除する必要があります。ゲスト エージェントは、次にサーバに接続するときに新しい cert.pem ファイルをインストールします。