Compute Engine の説明: パッチデプロイをオーケストレートする方法
Google Cloud Japan Team
※この投稿は米国時間 2020 年 8 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。
今年 4 月、実行中の VM を不具合や脆弱性から保護するために、Google Cloud の OS Patch Management サービスの一般提供を発表いたしました。このサービスは、Compute Engine で動作し、OS 環境(Windows、Linux)をまたいでご利用いただけます。このブログでは、パッチ適用前スクリプトとパッチ適用後スクリプトを使用して、パッチデプロイをオーケストレートする方法をご紹介します。
パッチ適用前スクリプトとパッチ適用後スクリプトとは
パッチジョブを実行するとき、パッチ適用プロセスの一部として実行するスクリプトを指定できます。これらのスクリプトは、アプリケーションの安全なシャットダウンやヘルスチェックなどのタスクの実行に役立ちます。
- パッチ適用前スクリプトは、パッチ適用が開始される前に実行されます。パッチ適用を開始する前にシステムの再起動が必要な場合、パッチ適用前スクリプトは再起動前に実行されます。
- パッチ適用後スクリプトは、パッチ適用が完了した後に実行されます。パッチ適用の一部としてシステムの再起動が必要な場合は、パッチ適用後スクリプトは再起動後に実行されます。
注: パッチ適用前スクリプトが失敗した場合、パッチデプロイは実行されません。これは、マシンにパッチデプロイを行う前のお客様にとって重要な保護機能となります。いずれかの VM でパッチ適用後スクリプトが失敗した場合、そのパッチジョブは「失敗」として記録されます。
パッチ適用前スクリプトとパッチ適用後スクリプトが必要な理由
適切なパッチ管理はダウンタイム発生のリスクを軽減につながるという点において、IT システム全体のセキュリティとエンドユーザーの生産性を決める最も重要な要素の一つとなり得ます。
エンドツーエンドのパッチ適用プロセスを完全に自動化するために、パッチ管理者が環境やワークロードに合わせてこれらのスクリプトをカスタマイズしなくてはならない場合があります。たとえば、パッチデプロイのプロセスの一部として、パッチの適用前または適用後にヘルスチェックを実行して、サービスやアプリケーションが期待どおりに稼働しているかどうかを確認する場合が挙げられます。
パッチ適用前スクリプトとパッチ適用後スクリプトが役立つシナリオは他にも多数あります。
パッチ適用前スクリプトを使用した自動化のシナリオ
- パッチ適用前に VM をロードバランサの対象から外す
- サーバーでメンテナンスを行う前、またはサーバーをオフラインにする前に、ユーザーをアプリケーション サーバー インスタンスからドレインする
- パッチを適用しても問題ない VM の状態を確立する
パッチ適用後スクリプトを使用した自動化のシナリオ
- パッチジョブの後、すべてのサービスとアプリケーションが実行されているかどうかを確認する
- ヘルスチェックを行う
- パッチ適用後に VM をロードバランサに戻す
Compute Engine でパッチ適用前スクリプトとパッチ適用後スクリプトを有効にする方法
Compute Engine 環境でパッチ適用前スクリプトとパッチ適用後スクリプトを設定するのは簡単です。
1. 新しいパッチのデプロイ中に、[詳細オプション] を選択して、パッチ適用前スクリプトまたはパッチ適用後スクリプトを追加します。これらのスクリプト ファイルは、VM またはバージョニングされた Cloud Storage バケットに保存できます。
1.Cloud Storage オブジェクトが一般公開されていない場合は、プロジェクトのデフォルトの Compute Engine サービス アカウントに、Cloud Storage オブジェクトの読み取りに必要な IAM 権限があることを確認してください。適切な権限があることを確認するには、Cloud Storage オブジェクトの権限設定を確認します。
2.Cloud Storage バケットを使用してスクリプトを保存する場合は、Cloud Storage バケットを作成し、バケットにスクリプトをアップロードします。
2. Cloud Storage バケットまたはローカル ドライブから、パッチ適用前スクリプトまたはパッチ適用後スクリプトを選択します。
なお、対象とするすべての Linux VM で実行されるパッチ適用前スクリプトとパッチ適用後スクリプトを 1 つずつ、また、対象とするすべての Windows VM で実行されるパッチ適用前スクリプトとパッチ適用後スクリプトを 1 つずつ選択できます。
Compute Engine VM に今すぐパッチを適用する
これで、Compute Engine でパッチ適用前スクリプトとパッチ適用後スクリプトを使用したパッチデプロイのオーケストレートが簡単に行えるようになりました。パッチデプロイの自動化をはじめとした OS Patch Management サービスの詳細については、ドキュメントをご覧ください。
-コンピューティング担当プロダクト マネージャー Ravi Chintalapudi