На Photon OS 4 (Cloud Director Appliance ≥ 10.6, vCenter Server Appliance 8) ставим Zabbix Agent 2 (LTS 7.0, RPM под EL8) без установки чужих RPM в систему. Распаковываем три RPM (агент, openssl-libs 1.1, pcre2), кладём бинарь и конфиги штатно, недостающие .so складываем в /etc/zabbix/libs/ и подключаем к сервису через LD_LIBRARY_PATH в systemd-юните. На vCSA дополнительно извлекаем .hmac-файлы для FIPS. В финале — открытие порта 10050 и проверка с Zabbix-сервера через zabbix_get.

Шаги:

1. Скачать RPM (агент + openssl-libs 1.1 + pcre2) на машине с интернетом.

2. Распаковать, разложить файлы по нужным путям на appliance.

3. Прописать LD_LIBRARY_PATH в unit-файле, запустить службу.

4. Открыть порт 10050 и проверить доступность агента с сервера мониторинга.

Зачем это нужно

Photon OS — компактный базовый дистрибутив VMware для appliance-решений. Официально установка Zabbix Agent на Photon не поддерживается, а штатный пакетный менеджер tdnf не сможет закрыть зависимости агента: Photon OS 4 поставляется с OpenSSL 3 (libssl.so.3, libcrypto.so.3) и без PCRE2. Zabbix Agent 2, собранный для EL8, ждёт:

• libssl.so.1.1

• libcrypto.so.1.1

• libpcre2-8.so.0

Доступ к репозиторию VMware с самого аплайнса часто закрыт сетевыми политиками, а ставить «чужие» RHEL-пакеты в систему рискованно — сломаются обновления самого аплайнса. Поэтому собираем «портативную» установку: библиотеки лежат отдельно и подгружаются только агенту.

Почему именно RPM под EL8, а не EL9

EL9 идёт уже на OpenSSL 3 — казалось бы, ближе к Photon 4. Но Zabbix Agent 2 для EL9 собран против более свежего glibc (2.34+), а в Photon OS 4 — glibc 2.32. Бинарь EL9 на Photon 4 просто не запустится из-за несовместимых символов glibc. Сборка EL8 (glibc 2.28) совместима, поэтому единственное, что приходится «донести» — это OpenSSL 1.1 и PCRE2.

Часть 1. Подготовка

Подготовиться можно как на самом appliance (если у него есть интернет), так и на соседней Linux-машине. Все артефакты собираем в /root/zbx-portable.

1.1. Скачиваем RPM

• zabbix-agent2 RPM под EL8 — с https://repo.zabbix.com/zabbix/7.0/rhel/8/x86_64/

• openssl-libs 1.1.x под EL8 — например, с pkgs.org

• pcre2 под EL8 — там же

Раскладываем в ./rpm/:

/root/zbx-portable/rpm/
  openssl-libs-1.1.1k-15.el8_6.x86_64.rpm
  pcre2-10.32-3.el8_6.x86_64.rpm
  zabbix-agent2-7.0.23-release1.el8.x86_64.rpm

1.2. Полностью распаковываем пакет с агентом

cd /root/zbx-portable
rpm2cpio ./rpm/zabbix-agent2-*.rpm | cpio -idmv

1.3. Извлекаем только нужные библиотеки

Из пакетов с библиотеками вытаскиваем только нужные .so и складываем в ./libs/. Для систем с включённым FIPS (vCSA) дополнительно извлекаем .hmac-файлы — без них OpenSSL в FIPS-режиме откажется грузиться:

mkdir -p /root/zbx-portable/libs && cd /root/zbx-portable/libs
 
rpm2cpio /root/zbx-portable/rpm/pcre2-10.32-3.el8_6.x86_64.rpm \
  | cpio -idmv './usr/lib64/libpcre2-8.so.0*'
 
rpm2cpio /root/zbx-portable/rpm/openssl-libs-1.1.1k-15.el8_6.x86_64.rpm \
  | cpio -idmv './usr/lib64/libssl.so.1.1*' './usr/lib64/libcrypto.so.1.1*'
 
# Только для vCSA / FIPS-режима:
rpm2cpio /root/zbx-portable/rpm/openssl-libs-1.1.1k-15.el8_6.x86_64.rpm | cpio -idmv \
  './usr/lib64/.libcrypto.so.1.1.1k.hmac' \
  './usr/lib64/.libcrypto.so.1.1.hmac' \
  './usr/lib64/.libssl.so.1.1.1k.hmac' \
  './usr/lib64/.libssl.so.1.1.hmac'

Обратите внимание на символьные ссылки в полученных файлах — cpio сохранит их, переносить файлы дальше нужно с флагами, сохраняющими симлинки (cp -a / rsync -a).

Часть 2. Установка на Photon OS 4

2.1. Системный пользователь и каталоги

Создаём пользователя и группу для агента:

groupadd --system zabbix
useradd --system -g zabbix -d /usr/lib/zabbix -s /sbin/nologin \
  -c "Zabbix Monitoring System" zabbix

Каталоги для логов и runtime:

mkdir /var/log/zabbix
chown -R zabbix:zabbix /var/log/zabbix
 
mkdir /run/zabbix
chown zabbix:zabbix /run/zabbix

2.2. Конфиги и бинарь агента

Копируем конфиги Zabbix:

cd /root/zbx-portable/
cp -r etc/zabbix/ /etc/zabbix/
chown -R root:zabbix /etc/zabbix
chmod 755 /etc/zabbix
chmod -R 755 /etc/zabbix/zabbix_agent2.d
chmod 640 /etc/zabbix/zabbix_agent2.conf

Теперь правим /etc/zabbix/zabbix_agent2.conf — Server, ServerActive, Hostname и т. д.

Копируем бинарник агента:

cp usr/sbin/zabbix_agent2 /usr/sbin/zabbix_agent2
chown root:root /usr/sbin/zabbix_agent2
chmod 755 /usr/sbin/zabbix_agent2

2.3. Библиотеки в отдельном каталоге

Копируем извлечённые .so с сохранением симлинков:

mkdir /etc/zabbix/libs
cp -a /root/zbx-portable/libs/. /etc/zabbix/libs/

На всех каталогах по пути нужен execute-bit (x), иначе линкер не сможет зайти в директорию:

chmod 755 /etc/zabbix
chmod 755 /etc/zabbix/libs
chmod 755 /etc/zabbix/libs/usr
chmod 755 /etc/zabbix/libs/usr/lib64
 
chmod 644 /etc/zabbix/libs/usr/lib64/libcrypto.so.1.1.* \
          /etc/zabbix/libs/usr/lib64/libssl.so.1.1.* \
          /etc/zabbix/libs/usr/lib64/libpcre2-8.so.0.*

2.4. systemd-юнит и LD_LIBRARY_PATH

Копируем unit-файл из распакованного RPM:

cp usr/lib/systemd/system/zabbix-agent2.service \
   /usr/lib/systemd/system/zabbix-agent2.service

Если запустить агента сейчас, получим ошибку:

/usr/sbin/zabbix_agent2: error while loading shared libraries:
  libpcre2-8.so.0: cannot open shared object file

Список недостающих библиотек удобно смотреть так:

ldd /usr/sbin/zabbix_agent2 | awk '/not found/{print $1}'

Решение — добавить в секцию [Service] переменную окружения, чтобы библиотеки видела только эта служба, а заодно зафиксировать каталог и режим для pid-файла:

vim /usr/lib/systemd/system/zabbix-agent2.service
 
[Service]
Environment="LD_LIBRARY_PATH=/etc/zabbix/libs/usr/lib64"
RuntimeDirectory=zabbix
RuntimeDirectoryMode=0755

Применяем:

systemctl daemon-reload
systemctl enable --now zabbix-agent2.service

Альтернатива: вшить путь в бинарь через patchelf

Если вы хотите, чтобы агент находил библиотеки независимо от того, как его запустили (не только через systemd, но и руками для отладки), можно вшить RUNPATH прямо в ELF:

tdnf install -y patchelf   # или принести patchelf тем же способом, что и агента
patchelf --set-rpath /etc/zabbix/libs/usr/lib64 /usr/sbin/zabbix_agent2

После этого LD_LIBRARY_PATH в юните не нужен. Минус — после обновления бинарника агента patchelf нужно применять заново.

Часть 3. Проверка работы

3.1. Зависимости закрыты

Первое, что хочется сделать после правки юнита — запустить ldd и убедиться, что библиотеки нашлись. Но есть нюанс: ldd использует переменные окружения текущего шелла, а LD_LIBRARY_PATH мы выставили только внутри unit-файла. Поэтому «голый» ldd будет продолжать показывать libssl.so.1.1, libcrypto.so.1.1 и libpcre2-8.so.0 как not found, даже если агент при этом прекрасно работает под systemd.

Правильная проверка — с тем же LD_LIBRARY_PATH, который видит служба:

LD_LIBRARY_PATH=/etc/zabbix/libs/usr/lib64 \
  ldd /usr/sbin/zabbix_agent2 | awk '/not found/{print $1}'

Должны получить пустой вывод.

3.2. Статус и логи службы

systemctl status zabbix-agent2 --no-pager
journalctl -u zabbix-agent2 -b -n 50 --no-pager

3.3. Проверка с Zabbix-сервера

Запуск процесса ещё не гарантирует, что агент реально отвечает. С хоста Zabbix-сервера или прокси проверяем end-to-end:

zabbix_get -s <appliance-ip> -p 10050 -k agent.ping
# должно вернуть: 1

zabbix_get -s <appliance-ip> -p 10050 -k agent.version
# должно вернуть номер версии агента

Если zabbix_get упирается в таймаут — проблема либо в firewall (см. Часть 4), либо в параметре Server= в конфиге агента: хост сервера должен быть в нём явно разрешён.

Часть 4. Открытие порта 10050

4.1. Cloud Director Appliance

В /etc/systemd/scripts/ip4save-vmw добавить правило рядом с однотипными записями:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
 
# и перезапустить службу:
service iptables restart

4.2. vCenter Server Appliance

Временное правило (действует до перезагрузки):

iptables -I port_filter -p tcp --dport 10050 -j ACCEPT

Закрепить правило между перезагрузками — добавить блок в /etc/vmware/appliance/services.conf:

"zabbix-agent": {
    "firewall": {
        "enable": true,
        "rules": [
            {
                "direction":  "inbound",
                "protocol":   "tcp",
                "porttype":   "dst",
                "port":       "10050",
                "portoffset": 0
            }
        ]
    }
}

Часть 5. Сопровождение

5.1. Ротация логов

Из RPM мы скопировали только /etc/zabbix/, без /etc/logrotate.d/. Чтобы лог /var/log/zabbix/zabbix_agent2.log не рос бесконтрольно, добавьте конфиг ротации:

cat > /etc/logrotate.d/zabbix-agent2 <<'EOF'
/var/log/zabbix/zabbix_agent2.log {
    weekly
    rotate 12
    compress
    delaycompress
    missingok
    notifempty
    create 0640 zabbix zabbix
    postrotate
        /bin/kill -HUP `cat /run/zabbix/zabbix_agent2.pid 2>/dev/null` 2>/dev/null || true
    endscript
}
EOF

5.2. Что произойдёт при обновлении appliance

ldd /usr/sbin/zabbix_agent2 | awk '/not found/{print $1}'
systemctl status zabbix-agent2
zabbix_get -s 127.0.0.1 -k agent.ping

Если что-то отвалилось — пересоберите /etc/zabbix/libs/ из свежих RPM (см. Часть 1) и при необходимости поднимите версию самого агента.

systemctl disable --now zabbix-agent2.service
rm -f  /usr/lib/systemd/system/zabbix-agent2.service
rm -f  /usr/sbin/zabbix_agent2
rm -rf /etc/zabbix
rm -rf /var/log/zabbix
rm -rf /run/zabbix
userdel zabbix && groupdel zabbix 2>/dev/null
systemctl daemon-reload
# и убрать правило для порта 10050 из firewall (см. Часть 4)

5.4. AppArmor / SELinux

Photon OS 4 в стандартной поставке не имеет принудительного MAC-профиля для произвольных бинарей, но если вы вручную включали AppArmor или SELinux — убедитесь, что для /usr/sbin/zabbix_agent2 нет ограничений на чтение /etc/zabbix/libs/. Симптом — агент стартует, но ldd показывает «not found» под пользователем zabbix и не показывает под root.

Итог

Агент готов: можно подключать пользовательские проверки и плагины — например, для мониторинга PostgreSQL внутри аплайнса. Главное, что мы получили: рабочий Zabbix Agent 2 на Photon OS 4 без вмешательства в системные библиотеки и без установки чужих RPM, то есть без рисков для штатной поддержки appliance со стороны VMware/Broadcom.

Следите, что остаётесь с нами! Ваш Cloud4Y. Читайте нас здесь или в Telegram-канале!