Установка PEM-файла открытого ключа для узла службы диспетчера vRealize Automation в правильной папке гостевого агента — самый безопасный подход при настройке в гостевом агенте доверия к серверу.

Найдите папку гостевого агента, который должен доверять серверу, в каждом шаблоне для PEM-файла cert.pem на узле службы диспетчера.

  • Папка гостевого агента Windows в каждом шаблоне, в котором используется агент

    C:\VRMGuestAgent\cert.pem
  • Папка гостевого агента Linux в каждом шаблоне, в котором используется агент

    /usr/share/gugent/cert.pem

    Если не поместить файл cert.pem в это расположение, на эталонном компьютере шаблона будет невозможно использовать гостевой агент. Например, если попытаться собрать сведения об открытом ключе после запуска ВМ путем изменения сценариев, нарушится условие безопасности.

Примечание:

В качестве альтернативы можно настроить гостевой агент на заполнение доверенного файла cert.pem при первом использовании, но это менее безопасно, чем установка файла cert.pem в каждом шаблоне вручную. Подумайте об этой альтернативе, если для нескольких серверов используется один шаблон. Чтобы разрешить гостевому агенту доверять первому серверу, к которому он подключается, создайте шаблон без файла cert.pem в каталоге VRMGuestAgent (Windows) или /usr/share/gugent (Linux). Гостевой агент заполнит файл cert.pem при первом подключении к серверу.

В зависимости от настроенной среды следует обратить внимание на дополнительные аспекты.

  • В установках WIM содержимое PEM-файла открытого ключа необходимо добавить в исполняемый файл консоли и интерфейс пользователя PEBuilder. Флаг консоли — /cert filename.

  • В установках RedHat Kickstart открытый ключ необходимо вырезать и вставить в файл образца, иначе гостевой агент не сможет выполнить операцию.

  • В установке SCCM файл cert.pem должен находиться в папке VRMGuestAgent.

  • В установках Linux vSphere файл cert.pem должен находиться в папке /usr/share/gugent.

Примечание:

При необходимости программное обеспечение и гостевые агенты можно установить вместе, загрузив следующий сценарий с веб-страницы https://APPLIANCE/software/index.html. Этот сценарий позволяет обрабатывать прием отпечатков пальцев по сертификату SSL при создании шаблонов.

  • Linux

    prepare_vra_template.sh

  • Windows

    prepare_vra_template.ps1

Если программное обеспечение и гостевой агент устанавливаются вместе, инструкции в разделе Установка гостевого агента на эталонном компьютере Linux или Установка гостевого агента на эталонном компьютере Windows не нужно использовать.

У шаблона всегда устанавливается отношение доверия к первой системе, к которой он подключается. В целях безопасности гостевой агент не проверяет наличие сертификата, если в каталоге VRMGuestAgent (Windows) или /usr/share/gugent (Linux) существует файл cert.pem. При изменении сертификата сервера необходимо удалить файл cert.pem из каталога VRMGuestAgent (Windows) или /usr/share/gugent (Linux). Гостевой агент установит файл cert.pem при следующем подключении к серверу.