Compute Engine 설명: OS 패치 관리 서비스 스케쥴링
Dmitry Sadakov
Software Engineer
* 본 아티클의 원문은 2021년 1월 13일 Google Cloud 블로그(영문)에 게재되었습니다.
작년에 출시된 OS 패치 관리 서비스는 실행 중인 Compute Engine VM을 결함과 취약점으로부터 보호해주는 서비스입니다. 이 서비스를 이용하면 최신 OS 업그레이드를 통해 Linux 및 Windows VM 패치 작업을 간단하고, 확장 가능하며, 효과적으로 수행할 수 있습니다. 이 블로그에서는 필터링한 VM 인스턴스의 자동 패치 일정으로 프로젝트 설정, 에이전트가 인식되지 않은 경우의 해결 방법, 여러 VM에서 패치 규정 준수 개요 보기에 대한 단계별 안내를 공유합니다.
시작하기
가상의 웹 서비스를 호스팅하는 여러 VM 인스턴스가 있는 프로젝트가 있다고 가정해 보겠습니다. 이때 최신 중요 수정사항과 악성 소프트웨어에 대한 보안 업데이트로 인스턴스를 자동 업데이트하고자 합니다. 또한 프로덕션 시스템과 개발 머신을 보유하고 있으며 서로 다른 일정으로 업데이트를 적용할 계획입니다.
먼저 Google Cloud Console에서 GCE > OS 패치 관리로 이동하여 서비스를 사용 설정합니다. 아니면 Google Cloud Marketplace 또는 gcloud를 통해 Cloud OS Config API 및 Container Analysis API를 사용 설정해도 됩니다.OS 구성 에이전트가 VM 인스턴스에 이미 설치되어 있을 가능성이 크므로 프로젝트 메타데이터 키를 통해 사용 설정하기만 하면 됩니다.
에이전트가 VM에서 데이터를 수집하면 모든 VM 및 운영체제의 상태를 파악하고 패치 규정 준수를 한눈에 확인할 수 있는 패치 규정 준수 대시보드에 이 데이터가 표시됩니다.
이제 CentOS 및 Red Hat Enterprise Linux(RHEL)와 같이 더 자주 패치해야 할 VM 인스턴스를 확인할 수 있습니다.
패치 배포 만들기
그런 다음 화면 상단에 있는 새 패치 배포를 클릭하면 몇 가지 단계를 거쳐 각각 특정 패치 구성과 예약 옵션을 사용하는 대상 VM 패치 배포를 만들 수 있습니다.
대상 VM 섹션에서 VM 인스턴스 이름 프리픽스와 라벨을 사용하면 특정 프리픽스로 시작되는 라벨을 사용하는 VM 인스턴스만 타겟팅할 수 있습니다. 그 밖에도 영역 및 라벨 그룹 조합 등의 인스턴스 필터링 옵션을 사용할 수 있습니다.
패치 구성 옵션에서 중요 패치 및 보안 패치로 RHEL, CentOS, Windows를 패치하도록 선택하거나 설치하려는 정확한 Microsoft 기술 자료(KB) 번호 및 패키지를 지정할 수도 있습니다. ‘제외’ 필드에서 특정 패키지가 설치되지 않도록 제외할 수도 있습니다.
마지막으로 패치 작업을 예약할 수 있습니다. 예를 들어 매달 두 번째 화요일 오전 11시부터 오후 2시까지의 최대 기간(3시간 유지보수 기간) 동안 1초 간격으로 작업을 실행하는 방법을 소개합니다.
패치 작업을 실행한 후 설치된 패치의 결과를 확인할 수 있습니다. 이 정보는 규정 준수 대시보드 및 VM 인스턴스 탭에 보고됩니다.
