이 문서에서는 게스트 환경의 중요한 구성요소인 게스트 에이전트의 핵심 기능을 간략하게 설명합니다. 게스트 환경에는 인스턴스가 Compute Engine에서 실행하는 데 필요한 스크립트, 데몬, 바이너리가 포함되어 있습니다. 자세한 내용은 게스트 환경을 참고하세요.
게스트 에이전트 작동 방식
20250901.00 버전부터 게스트 에이전트는 플러그인 기반 아키텍처를 사용합니다. 이 설계는 에이전트의 기능을 별도의 구성요소로 분리하여 안정성과 유연성을 개선합니다.
게스트 에이전트 아키텍처는 몇 가지 주요 구성요소로 구성됩니다.
- 게스트 에이전트 관리자: 모든 플러그인을 시작, 중지, 모니터링하는 인스턴스의 중앙 프로세스입니다.
- 핵심 플러그인: 이 플러그인은 인스턴스가 실행되는 데 필요한 필수 서비스를 처리합니다 Google Cloud. 이 기능은 사용 중지할 수 없습니다.
- 선택적 플러그인: 인스턴스를 Cloud Monitoring과 같은 다른 Google Cloud 서비스와 통합하는 플러그인입니다. 인스턴스에서 실행되는 플러그인을 제어할 수 있습니다.
- 에이전트 컨트롤 플레인: Google의 백엔드 인프라에서 실행되고 설치 및 업데이트를 비롯한 선택적 플러그인의 수명 주기를 관리하는 관리형 Google Cloud 서비스입니다.
게스트 에이전트 아키텍처에 대한 자세한 내용은 게스트 에이전트 정보를 참고하세요.
핵심 기능
핵심 플러그인은 인스턴스가 Compute Engine에서 작동하는 데 필요한 기본 서비스를 담당합니다. 다음 섹션에서는 핵심 플러그인에서 제공하는 함수를 자세히 설명합니다. 게스트 에이전트 구성 파일을 사용하여 이러한 기능을 많이 맞춤설정할 수 있습니다.
초기 인스턴스 설정 및 최적화
게스트 에이전트는 Compute Engine에서 실행할 인스턴스를 준비하기 위해 여러 설정 작업을 실행합니다. 다음 표와 같이 일부 작업은 첫 번째 부팅에서만 실행되는 반면 다른 작업은 시작할 때마다 실행됩니다.
| 작업 | 빈도 |
|---|---|
| SSH 호스트 키 생성 | 첫 번째 부팅 시 |
Cloud Storage 사용을 위한 boto 구성 만들기 |
첫 번째 부팅 시 |
| 로컬 SSD에 맞게 최적화 | 시작할 때마다 |
모든 virtionet 기기에서 멀티 큐 사용 설정 |
시작할 때마다 |
게스트 에이전트 구성 파일의 InstanceSetup 옵션을 구성하여 이러한 설정 작업을 제어할 수 있습니다. 예를 들어 optimize_local_ssd = false를 설정하여 로컬 SSD 최적화를 사용 중지할 수 있습니다.
시스템 원격 분석 수집
게스트 에이전트는 부팅 시와 24시간마다 기본 시스템 원격 분석 정보를 기록합니다. 기록된 정보에는 다음이 포함됩니다.
- 게스트 에이전트 버전 및 아키텍처
- 운영체제 이름 및 버전
- 운영체제 커널 출시 및 버전
메타데이터 키 disable-guest-telemetry를 true로 설정하여 원격 분석 수집을 사용 중지할 수 있습니다. 메타데이터를 설정하려면 커스텀 메타데이터 설정 및 삭제를 참고하세요.
시계 동기화 (Linux만 해당)
정확한 시간 기록을 위해 게스트 에이전트는 clock_skew_daemon 구성요소를 사용하여 인스턴스의 시계를 실행되는 실제 서버와 일치하도록 주기적으로 수정합니다. 이 프로세스는 클럭 스큐라는 문제를 방지하고 인스턴스 로그에 system time has changed 메시지를 생성하여 시간이 성공적으로 동기화되었음을 확인합니다.
에이전트는 일반적으로 중지 또는 시작 이벤트 후나 이전 후에 시계를 동기화합니다.
게스트 에이전트 구성 파일에서 clock_skew_daemon = false을 설정하여 clock_skew_daemon 구성요소를 사용 중지할 수 있습니다.
메타데이터 스크립트 실행
시작 스크립트와 종료 스크립트를 사용하여 인스턴스가 시작되거나 중지될 때마다 자동화된 작업을 실행할 수 있습니다.
게스트 에이전트는 다음과 같이 이러한 스크립트의 실행을 지원합니다.
- 셸에서 스크립트를 실행합니다.
- 스크립트를 여러 개 지정하면 (예:
startup-script와startup-script-url를 모두 사용하는 경우) 에이전트가 두 스크립트를 모두 실행합니다. - 동일한 이벤트에 여러 스크립트가 제공되면 에이전트는 URL의 스크립트를 먼저 실행합니다.
- 스크립트가 완료되면 에이전트가 종료 상태를 기록합니다.
게스트 에이전트 구성 파일에서 MetadataScripts 옵션을 수정하여 메타데이터 스크립트의 실행을 구성할 수 있습니다.
사용자 계정 및 SSH 키 관리
게스트 에이전트는 accounts_daemon를 사용하여 인스턴스 액세스를 제어하는 로컬 사용자 계정과 SSH 키를 관리합니다.
구체적인 동작은 Linux와 Windows 운영체제에 따라 다릅니다.
게스트 에이전트 구성 파일에서 Accounts 옵션을 구성하여 계정 관리 옵션을 수정할 수 있습니다.
Linux
OS 로그인은 개별 SSH 키를 만들고 관리할 필요 없이 IAM을 사용하여 인스턴스에 대한 SSH 액세스를 관리하는 데 사용됩니다. OS 로그인에 대한 자세한 내용은 OS 로그인을 참고하세요. Linux 인스턴스에서 OS 로그인이 사용 설정되지 않은 경우 에이전트는 메타데이터 설정을 사용하여 로컬 사용자 계정과 해당 SSH 키를 만들고 관리합니다.
인스턴스 또는 프로젝트 메타데이터에서 SSH 키를 추가하거나 삭제하면 게스트 에이전트가 로컬 사용자 계정을 만들거나 삭제합니다. 게스트 에이전트는 이러한 로컬 사용자 계정을 관리하기 위해 다음 작업도 실행합니다.
- 관리하는 각 사용자 계정의
authorized_keys파일을 다음과 같이 유지합니다.- 메타데이터에 SSH 키를 추가하면 에이전트가 사용자 계정의
authorized_keys파일을 만듭니다. - 메타데이터에서 사용자의 모든 SSH 키를 삭제하면 에이전트가 해당 사용자 계정의
authorized_keys파일을 삭제합니다.
- 메타데이터에 SSH 키를 추가하면 에이전트가 사용자 계정의
google-sudoersLinux 그룹을 사용하여 관리자 권한을 관리합니다. 이 그룹의 모든 구성원에게 인스턴스에 대한 sudo 권한이 부여됩니다.- 프로비저닝하는 모든 사용자 계정을
google-sudoers그룹에 추가합니다. - 게스트 에이전트 구성 파일의
groups옵션에 지정된 추가 Linux 그룹에 사용자 계정을 추가합니다.
Windows
Windows 인스턴스에서 에이전트는 인스턴스 또는 프로젝트 수준의 메타데이터 SSH 키에 지정된 SSH 사용자 계정에 대해 로컬 사용자 계정을 자동으로 만듭니다. 게스트 상담사는 사용자 계정 만들기 및 비밀번호 설정 또는 재설정도 처리합니다. 이러한 로컬 사용자 계정은 SSH를 사용하여 Windows 인스턴스에 연결하는 데 필요합니다.
AD 컨트롤러 인스턴스에서 계정 관리자를 사용 중지하여 의도치 않은 AD 사용자 프로비저닝을 방지할 수 있습니다. Compute Engine에서 AD를 설정하는 방법에 대한 자세한 내용은 도메인 컨트롤러 배포를 참고하세요.
OS 로그인 구성 (Linux만 해당)
OS 로그인은 개별 SSH 키를 만들고 관리할 필요 없이 IAM을 사용하여 인스턴스에 대한 SSH 액세스를 관리하는 데 사용됩니다. OS 로그인에 대한 자세한 내용은 OS 로그인 문서를 참고하세요.
OS 로그인을 사용 설정하면 게스트 에이전트가 OS 로그인을 사용하도록 인스턴스를 구성합니다.
게스트 에이전트는 다음 작업을 완료하여 OS 로그인을 구성합니다.
SSHD구성 파일에 Google 구성 블록을 추가하고SSHD를 다시 시작합니다.nsswitch.conf파일에 OS 로그인 항목을 추가합니다.SSHD의PAM구성 파일에 OS 로그인 항목을 추가합니다.
OS 로그인을 사용 중지하면 구성 변경사항이 삭제됩니다. SSHD 구성 파일의 Accounts 섹션에 있는 옵션은 OS 로그인 사용자에게 적용되지 않습니다.
네트워크 관리
게스트 에이전트는 부팅 시 인스턴스의 네트워크 인터페이스를 자동으로 구성합니다. 메타데이터 서버에서 네트워크 구성을 읽어 인스턴스가 네트워크에 올바르게 연결되고 다른 서비스를 액세스할 수 있는지 확인합니다. Google Cloud
게스트 에이전트 구성 파일에서 NetworkInterfaces 옵션을 구성하여 에이전트의 네트워크 관리 동작을 제어할 수 있습니다. 예를 들어 manage_primary_nic = true 옵션을 설정하여 에이전트가 보조 NIC 외에도 기본 네트워크 인터페이스 카드 (NIC)를 관리하도록 할 수 있습니다.
게스트 에이전트는 부팅할 때마다 다음 주요 작업을 실행합니다.
- 네트워크 인터페이스 사용 설정: 에이전트가 OS에서 활성 네트워크 관리자를 감지하고 이를 사용하여 모든 보조 네트워크 NIC를 사용 설정합니다.
- IP 경로 구성: 에이전트는 IP 전달 및 별칭 IP 범위와 같은 기능에 필요한 IP (IPv4만 해당) 경로를 다음과 같이 설정합니다.
- 기본 이더넷 인터페이스에서 경로를 설정합니다.
- 라우팅 프로토콜 ID
66를 사용하여 기본적으로 Google 경로를 구성합니다. 이 ID는 구성된 게스트 에이전트 IP 주소의 네임스페이스입니다. 이 ID는 게스트 에이전트 구성 파일에서ethernet_proto_id옵션을 사용하여 변경할 수 있습니다.
- 메타데이터 서버로의 경로 생성: 에이전트는 기본 NIC가 항상 메타데이터 서버와 통신하여 인스턴스 정보를 가져올 수 있도록 합니다.
- VLAN 구성: 인스턴스가 가상 근거리 통신망 (VLAN)에 연결되도록 구성된 경우 게스트 에이전트가 설정을 자동으로 처리합니다. 메타데이터 서버에서 VLAN 구성을 읽고 인스턴스 내에서 올바른 VLAN 태그를 사용하도록 네트워크 인터페이스를 구성합니다. 이렇게 하면 인스턴스가 의도한 논리 네트워크에서 통신합니다. 중요한 점은 VLAN이 기본 NIC에 연결된 경우
manage_primary_nic가 사용 중지되어도 게스트 에이전트가 이를 구성한다는 것입니다.
네트워크 관리자 선택
Linux에서 게스트 에이전트는 시스템에서 사용할 수 있는 네트워크 관리자를 자동으로 감지하고 이를 사용하여 네트워크 인터페이스를 구성합니다. 에이전트는 우선순위 순서대로 netplan부터 dhclient까지 지원되는 관리자를 확인합니다.
다음 표에는 지원되는 네트워크 관리자가 기본적으로 가장 일반적으로 연결되는 운영체제별로 정리되어 있습니다. 특정 인스턴스 구성은 다를 수 있지만 이 표에는 나열된 운영체제의 기본 네트워크 관리자가 반영되어 있습니다.
| 네트워크 관리자 | 운영체제 | 구성 위치 | 경로 예 | 참고 |
|---|---|---|---|---|
netplan |
|
/run/netplan/ |
/run/netplan/20-google-guest-agent-eth0.yaml |
에이전트는 /etc/systemd/network/의 드롭인 위치를 사용할 수도 있습니다. |
wicked |
|
/etc/sysconfig/network/ |
/etc/sysconfig/network/ifcfg-eth0 |
기존 ifcfg 파일은 덮어쓰지 않고 대신 건너뜁니다. |
NetworkManager |
|
/etc/NetworkManager/system-connections/ |
/etc/NetworkManager/system-connections/google-guest-agent-eth0.nmconnection |
|
systemd-networkd |
|
/usr/lib/systemd/network/ |
/usr/lib/systemd/network/20-eth0-google-guest-agent.network |
|
dhclient |
|
/run/ |
/run/dhclient.google-guest-agent.eth0.ipv4.pid |
다른 네트워크 관리자가 감지되지 않으면 게스트 에이전트는 기본적으로 dhclient를 사용합니다. |
보안 메타데이터 서버 (MDS) 사용자 인증 정보 관리
이제 보안 VM이 HTTPS 엔드포인트 https://metadata.google.internal/computeMetadata/v1를 사용하여 메타데이터 서버와의 보안 통신을 지원합니다. 이 개선사항은 메타데이터 액세스를 위한 더 안전한 채널을 제공합니다.
이 보안 통신을 사용 설정하기 위해 게스트 에이전트는 인스턴스의 디스크에서 필요한 사용자 인증 정보를 가져와 저장합니다. 이러한 사용자 인증 정보는 표준 위치에 저장되므로 인스턴스에서 실행되는 모든 클라이언트 애플리케이션이 액세스할 수 있습니다. 이러한 위치를 검토하려면 인증서 저장 위치를 참고하세요.
HTTPS MDS 인증서 설정은 기본적으로 사용 중지되어 있습니다. 차폐 VM에서 HTTPS MDS 인증서를 자동으로 설정하도록 하려면 인스턴스 또는 프로젝트에서 disable-https-mds-setup 메타데이터 키를 false로 설정합니다.
메타데이터를 설정하려면 커스텀 메타데이터 설정 및 삭제를 참고하세요.
게스트 에이전트의 사용자 인증 정보 관리에는 다음이 포함됩니다.
- 초기 업데이트: 게스트 에이전트 프로세스가 시작될 때마다 루트 인증서와 클라이언트 사용자 인증 정보가 모두 업데이트됩니다.
- 자동 새로고침: 보안 강화를 위해 게스트 상담사는 48시간마다 클라이언트 사용자 인증 정보를 자동으로 새로고침합니다.
- 중복 기간: 이전 사용자 인증 정보가 유효한 상태에서 에이전트가 새 사용자 인증 정보를 생성하고 저장합니다. 중복 기간을 통해 클라이언트는 이전 사용자 인증 정보가 만료되기 전에 새 사용자 인증 정보로 전환할 충분한 시간을 확보할 수 있습니다. 이 중복 기간을 통해 에이전트는 실패 시 사용자 인증 정보 획득을 다시 시도하여 기존 사용자 인증 정보가 무효화되기 전에 유효한 사용자 인증 정보가 마련되도록 할 수 있습니다.
- 구성: 게스트 에이전트는 클라이언트 사용자 인증 정보가 클라이언트 인증서와 연결된 EC (타원 곡선) 비공개 키로 구성되도록 합니다.
- 고유성: 게스트 에이전트는 사용자 인증 정보가 인스턴스에 고유하며 다른 곳에서 사용할 수 없도록 합니다.
HTTPS 메타데이터 서버 엔드포인트에 관한 자세한 내용은 HTTPS 메타데이터 서버 엔드포인트 정보를 참고하세요.
기본적으로 게스트 에이전트는 인증서를 디스크에 직접 씁니다. 하지만 인증서를 운영체제의 기본 인증서 저장소에 통합하도록 에이전트를 구성할 수 있습니다. 이 통합을 사용 설정하려면 enable-https-mds-native-cert-store 메타데이터 키를 true로 설정합니다. 메타데이터를 설정하려면 커스텀 메타데이터 설정 및 삭제를 참고하세요.
OS 트러스트 저장소에 인증서를 추가하는 에이전트의 동작은 OS에 따라 다음과 같이 다릅니다.
Linux
게스트 에이전트는 다음 단계를 실행합니다.
- MDS 루트 인증서를 시스템의 트러스트 저장소에 추가합니다. 구체적인 경로는 OS 배포에 따라 다릅니다. 이러한 위치를 검토하려면 OS 트러스트 저장소의 루트 인증서 스토리지를 참고하세요.
update-ca-certificates또는update-ca-trust과 같은 OS에 적합한 명령어를 실행하여 로컬 신뢰 저장소를 업데이트합니다.
Windows
에이전트가 클라이언트 사용자 인증 정보를 Cert:\LocalMachine\My에 추가하고 루트 인증서를 Cert:\LocalMachine\Root에 추가합니다.
Windows 장애 조치 클러스터 지원 (Windows만 해당)
게스트 에이전트는 Windows Server 장애 조치 클러스터의 활성 노드를 모니터링하고 Google Cloud 내부 부하 분산기와 협력하여 모든 클러스터 트래픽을 예상 노드로 전달합니다.
인스턴스 메타데이터 또는 instance_configs.cfg 파일에서 다음 필드를 사용하여 이 동작을 제어할 수 있습니다.
enable-wsfc:true로 설정되면 에이전트가 모든 IP 전달 정보를 무시하고 상태 점검 포트에 응답하기 시작합니다. 기본 설정은false입니다.wsfc-agent-port: 에이전트가 상태 점검에 응답하는 포트를 지정합니다. 기본 설정은59998입니다.wsfc-addrs: 쉼표로 구분된 IP 주소 목록입니다. 이 고급 설정을 사용하면 동일한 인스턴스에 일반 전달 IP와 클러스터 IP를 모두 사용할 수 있습니다. 이 설정을 지정하면 에이전트는 이 목록에 있는 IP의 자동 구성만 건너뜁니다. 기본적으로 이 값은 설정되지 않습니다.
다음 단계
- 게스트 에이전트를 관리하는 방법을 알아보려면 게스트 에이전트 구성을 참고하세요.