Compute Engine の説明: OS Patch Management サービスのスケジュール設定
Google Cloud Japan Team
※この投稿は米国時間 2021 年 1 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。
2020 年、Google Cloud は OS Patch Management サービスをリリースし、実行中の Compute Engine VM を不具合や脆弱性から保護できるようにしました。このサービスは、Linux と Windows VM への最新の OS アップグレードの適用が、シンプルかつスケーラブルで効果的に行えるようにするものです。このブログでは、プロジェクトで VM インスタンスを一定の条件でフィルタしたうえでパッチを自動適用するようスケジュール設定し、VM フリート全体のパッチ コンプライアンスの概要を表示する方法を、途中でエージェントが検出されない場合の解決法も含め、手順を追ってご紹介します。
はじめに
例として、架空のウェブサービスをホストする複数の VM インスタンスを使用したプロジェクトを取り上げます。インスタンスを自動的に更新し続けるために、不正なソフトウェアに対する最新の重要な修正とセキュリティ アップデートを利用する必要があります。マシンの本番環境フリートと開発フリートがあり、異なるスケジュールで更新を適用するとします。
まず、Google Cloud Console で [Compute Engine] > [OS Patch Management] に移動してサービスを有効にします。別の方法として、Google Cloud Marketplace または gcloud で Cloud OS Config API と Container Analysis API を有効にすることもできます。
通常、OS Config エージェントは VM インスタンスにすでにインストールされていて、プロジェクトのメタデータキーを介して有効にするだけで利用できます。
エージェントが VM フリート全体でデータを収集すると、パッチ コンプライアンス ダッシュボードにそれが反映されます。このダッシュボードには、すべての VM とオペレーティング システムの状態が表示され、パッチ コンプライアンスを一目で確認できます。


CentOS や Red Hat Enterprise Linux(RHEL)フリートなど、頻繁にパッチを適用する必要のある VM インスタンスを確認できるようになりました。
パッチデプロイを作成する
次に、画面上部に表示される [新しいパッチのデプロイ] をクリックし、手順に沿ってパッチ構成とスケジュール設定のオプションを選択してターゲット VM に対するパッチデプロイを作成します。
[ターゲット VM] セクションでは、VM インスタンス名の接頭辞とラベルを使用して、ターゲットを特定の接頭辞で始まるラベルを持つ VM インスタンスのみに絞り込むことができます。ゾーンや、ラベルグループの組み合わせなど、より多くのインスタンス フィルタ オプションが利用可能です。


[パッチ構成] オプションでは、RHEL、CentOS、Windows に重要なセキュリティ パッチを適用するか、インストールする Microsoft サポート技術情報(KB)の正確な数字とパッケージを指定するかを選択できます。「除外」フィールドで特定のパッケージをインストールから除外することもできます。


最後に、パッチジョブをスケジュール設定できます。たとえば、毎月第 2 火曜日の午前 11 時から最長で午後 2 時まで(3 時間のメンテナンスの時間枠)の間にジョブを実行する方法は次のとおりです。


パッチジョブの実行後、インストールしたパッチの結果を確認できます。この情報は、コンプライアンス ダッシュボードと [VM インスタンス] タブに次のように表示されます。




Compute Engine VM に今すぐパッチを適用する
パッチデプロイの自動化など、Compute Engine 上の OS Patch Management サービスの詳細については、ドキュメントのページをご覧ください。
-ソフトウェア エンジニア Dmitry Sadakov