Crea y administra instancias de Windows Server

Compute Engine proporciona imágenes públicas con Windows Server que puedes usar para crear instancias. A fin de obtener instrucciones para crear una instancia de Windows Server con SQL Server preinstalado, consulta la página sobre cómo crear instancias de SQL Server.

Para obtener más información general sobre instancias de Windows Server y aplicaciones de Windows que se pueden ejecutar en Compute Engine, consulta Windows en Compute Engine.

Antes de comenzar

Crea una instancia de Windows Server

A fin de crear una instancia con Windows Server, debes especificar la familia de imágenes para la versión específica de Windows que necesitas. Compute Engine ofrece varias versiones de Windows Server, y la mayoría están disponibles como imágenes de VM protegidas y normales. Las imágenes de VM protegidas ofrecen funciones de seguridad, como firmware compatible con UEFI, inicios seguro y medido con protección vTPM. Si eliges el almacenamiento SSD para la instancia, no puedes usar las funciones de supervisión de integridad de VM protegida y no puedes usar vTPM para proteger los datos. Para ver una lista de las familias de imágenes disponibles, consulta la página sobre imágenes públicas.

Crea una instancia de Windows Server que use una IP externa para la activación

En esta sección se describe cómo crear una instancia de Windows Server que tenga una dirección IP externa. La red de VPC debe estar configurada para permitir el acceso a kms.windows.googlecloud.com.

Crea la instancia de Windows Server

En Console

Sigue estos pasos para crear una instancia básica de Windows:

  1. En GCP Console, ve a la página VM Instances.

    Ir a la página Instancias de VM

  2. Haz clic en Crear instancia.
  3. En la sección Disco de arranque, haz clic en Cambiar para comenzar a configurar el disco de arranque.
  4. En la pestaña Imágenes del SO, selecciona a Windows image.

  5. Haz clic en Seleccionar.
  6. Haz clic en Crear para crear la instancia.

Haz esto para crear una instancia de Windows con VM protegida, sigue estos pasos:

  1. Ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. Haz clic en Crear instancia.
  3. En la sección Disco de arranque, haz clic en Cambiar para configurar el disco de arranque.
  4. En la pestaña Imágenes del SO, elige una imagen de Windows.
    Selecciona Mostrar imágenes con funciones de VM protegida para ver solo las imágenes de VM protegida.

  5. Haz clic en Seleccionar.

  6. De manera opcional, puedes cambiar la configuración de VM protegida de la instancia si sigues estos pasos:

    1. Haz clic en la pestaña Seguridad en la sección Administración, seguridad, discos, herramientas de red.
    2. Si deseas inhabilitar el inicio seguro, desmarca la opción Activar el inicio seguro. El inicio seguro ayuda a proteger las instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta Arranque seguro.
    3. Si deseas inhabilitar el módulo de plataforma segura virtual (vTPM), desmarca Activar vTPM. vTPM habilita el inicio medido, que valida la integridad previa al inicio y del inicio de la VM. Para obtener más información, consulta Módulo de plataforma segura virtual (vTPM).

    4. Si deseas inhabilitar la supervisión de integridad, desmarca Activar la supervisión de integridad. La supervisión de integridad te permite supervisar la integridad de inicio de tus instancias de VM protegidas con Stackdriver. Para obtener más información, consulta Supervisión de integridad.

  7. Haz clic en Crear para crear la instancia.

En gcloud

Usa el comando compute images list para ver una lista de imágenes de SQL Server disponibles:

Use el comando siguiente para ver imágenes de VM no protegidas de Windows Server:

gcloud compute images list --project windows-cloud --no-standard-images

Use el comando siguiente para ver una lista de imágenes de VM protegidas disponibles, incluidas las de Windows:

gcloud compute images list --project gce-uefi-images --no-standard-images

Usa el comando compute instances create a fin de crear una instancia nueva y especifica la familia de imágenes para una de las imágenes públicas de Windows Server.

gcloud compute instances create [INSTANCE_NAME] \
    --image-project windows-cloud \
    --image-family [IMAGE_FAMILY] \
    --machine-type [MACHINE_TYPE] \
    --boot-disk-size [BOOT_DISK_SIZE] \
    --boot-disk-type [BOOT_DISK_TYPE]

donde:

  • [INSTANCE_NAME] es el nombre de la instancia nueva.
  • [IMAGE_FAMILY] es una de las familias de imágenes públicas para imágenes de Windows Server.
  • [MACHINE_TYPE] es uno de los tipos de máquina disponibles.
  • [BOOT_DISK_SIZE] es el tamaño del disco de arranque en GB. Los discos persistentes más grandes cuentan con mayor capacidad de procesamiento.
  • [BOOT_DISK_TYPE] es el tipo de disco de arranque para la instancia. Especifica pd-ssd para usar un disco persistente SSD más rápido o pd-standard a fin de usar un disco persistente HDD estándar.

Si eliges una imagen que admite una VM protegida, puedes cambiar de manera opcional la configuración de VM protegida de la instancia con una de las marcas siguientes:

  • --no-shielded-vm-secure-boot: inhabilita el inicio seguro. El inicio seguro ayuda a proteger las instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta Arranque seguro.
  • --no-shielded-vm-vtpm: inhabilita el módulo de plataforma segura virtual (vTPM). vTPM habilita el inicio medido, que valida la integridad previa al inicio y del inicio de la VM. Para obtener más información, consulta Módulo de plataforma segura virtual (vTPM).

  • --no-shielded-vm-integrity-monitoring: inhabilita la supervisión de la integridad. La supervisión de la integridad te permite supervisar la integridad de inicio de las instancias de VM protegida mediante Stackdriver. Para obtener más información, consulta Supervisión de integridad.

En el ejemplo siguiente, se crea una instancia de VM protegida de Windows 2012 con el inicio seguro inhabilitado:

 gcloud compute instances create my-instance \
 --image-family windows-2012-r2 --image-project gce-uefi-images \
 --no-shielded-vm-secure-boot

API

Para crear una instancia con la API, debes incluir la propiedad initializeParams en la solicitud de creación de la instancia y especificar una imagen de Windows. Por ejemplo, el cuerpo de su solicitud podría verse así:

instance = {
  "name": "[INSTANCE_NAME]",
  "machineType": "zones/[ZONE]/machineTypes/[MACHINE_TYPE]",
  "disks": [{
      "boot": "true",
      "type": "PERSISTENT",
      "initializeParams": {
         "diskName": "[DISK_NAME]",
         "sourceImage": "https://www.googleapis.com/compute/v1/projects/windows-cloud/global/images/family/[IMAGE_FAMILY]",
         "diskSizeGb": "[BOOT_DISK_SIZE]",
         "diskType": "[BOOT_DISK_TYPE]",
       }
    }],
  "networkInterfaces": [{
    "accessConfigs": [{
      "type": "ONE_TO_ONE_NAT",
      "name": "External NAT"
     }],
    "network": "global/networks/default"
  }],
  "serviceAccounts": [{
       "email": DEFAULT_SERVICE_EMAIL,
       "scopes": DEFAULT_SCOPES
  }]
}

donde:

  • [INSTANCE_NAME] es el nombre de la instancia nueva.
  • [IMAGE_FAMILY] es una de las familias de imágenes públicas para imágenes de Windows Server o de SQL Server.
  • [ZONE] es la zona de la instancia.
  • [MACHINE_TYPE] es uno de los tipos de máquina disponibles.
  • [BOOT_DISK_SIZE] es el tamaño del disco de arranque en GB. Los discos persistentes más grandes cuentan con mayor capacidad de procesamiento.
  • [BOOT_DISK_TYPE] es el tipo de disco de arranque para la instancia. Especifica pd-ssd para usar un disco persistente SSD más rápido o pd-standard a fin de usar un disco persistente HDD estándar.

Si eliges una imagen que admite una VM protegida, puedes cambiar de manera opcional la configuración de VM protegida de la instancia con los elementos siguientes del cuerpo de solicitud booleana:

  • enableSecureBoot: habilita o inhabilita el inicio seguro. El inicio seguro ayuda a proteger las instancias de VM del software malicioso y los rootkits de nivel de inicio y kernel. Para obtener más información, consulta Arranque seguro.
  • enableVtpm: habilita o inhabilita el módulo de plataforma segura virtual (vTPM). vTPM habilita el inicio medido, que valida la integridad previa al inicio y del inicio de la VM. Para obtener más información, consulta Módulo de plataforma segura virtual (vTPM).

  • enableIntegrityMonitoring: habilita o inhabilita la supervisión de integridad. La supervisión de integridad permite supervisar y verificar la integridad de arranque en entorno de ejecución de las instancias de VM protegidas mediante informes de Stackdriver. Para obtener más información, consulta Supervisión de integridad.

Para obtener más información sobre cómo crear una instancia, lee la documentación de instances.insert().

Después de crear la instancia de Windows o SQL Server, debes establecer la contraseña inicial de la instancia para que puedas conectarte a la instancia con RDP.

Crea una instancia de Windows Server que use una dirección IP interna para la activación

Antes de crear una instancia de Windows Server que solo tenga una dirección IP interna, debes verificar o configurar rutas y reglas de firewall en tu red de VPC para permitir el acceso a kms.windows.googlecloud.com. Además, debes habilitar el Acceso privado a Google para las subredes en tu red de VPC que contengan instancias de Windows solo con direcciones IP internas.

Cuando creas una instancia nueva con la línea de comandos de gcloud, puedes usar la marca --no-address para asegurarte de que no se le asigne una dirección IP externa:

gcloud compute instances create [INSTANCE_NAME] --network [NETWORK_NAME] \
   --subnet [SUBNET_NAME] \
   --no-address \
   --zone [ZONE] \
   --image-project windows-cloud \
   --image-family [IMAGE_FAMILY] \
   --machine-type [MACHINE_TYPE] \
   --boot-disk-size [BOOT_DISK_SIZE] \
   --boot-disk-type [BOOT_DISK_TYPE]

Reemplaza los marcadores de posición siguientes por valores válidos:

  • [INSTANCE_NAME] es el nombre de la instancia nueva.
  • [SUBNET_NAME] es el nombre de la subred en la red de VPC que usará la instancia. La subred debe estar en la misma región que la zona que elijas para la instancia.
  • [IMAGE_FAMILY] es una de las familias de imágenes públicas para las imágenes de Windows Server.
  • [MACHINE_TYPE] es uno de los tipos de máquina disponibles.
  • [BOOT_DISK_SIZE] es el tamaño del disco de inicio en GB. Los discos persistentes más grandes tienen una mayor capacidad de procesamiento.
  • [BOOT_DISK_TYPE] es el tipo de disco de arranque para la instancia. Especifica pd-ssd para usar un disco persistente SSD más rápido o pd-standard a fin de usar un disco persistente HDD estándar.

Debido a que esta instancia no tiene una dirección IP externa, no puedes conectarte de forma directa a ella a través de Internet. Puedes conectarte desde otra red conectada a tu red de VPC con Cloud Interconnect o Cloud VPN, o puedes conectarte primero a una instancia de bastión mediante RDP y, luego, conectarte a la instancia que solo tenga una dirección IP interna.

Configura el acceso a kms.windows.googlecloud.com

Para la activación y renovación de Windows, tu red de VPC debe cumplir con los siguientes requisitos de reglas de enrutamiento y firewall.

Requisitos de enrutamiento

Las instancias de Windows deben poder alcanzar a kms.windows.googlecloud.com (35.190.247.13) a través de una ruta cuyo siguiente salto sea la puerta de enlace de Internet predeterminada. No puedes activar instancias de Windows con una puerta de enlace NAT basada en instancias o Cloud NAT porque kms.windows.googlecloud.com rechaza las solicitudes de activación de direcciones IP que no están confirmadas como instancias de Compute Engine.

Puedes usar la ruta predeterminada en tu red de VPC para enrutar el tráfico de manera directa a kms.windows.googlecloud.com. Si quitas esta ruta o planeas hacerlo en el futuro, debes crear una ruta estática personalizada con el destino 35.190.247.13 y el siguiente salto configurado como puerta de enlace de Internet predeterminada:

gcloud compute routes create [ROUTE_NAME] \
    --destination-range=35.190.247.13/32 \
    --network=[NETWORK] \
    --next-hop-gateway=default-internet-gateway

Reemplaza [ROUTE_NAME] con un nombre para esta ruta y [NETWORK] con el nombre de tu red de VPC.

La ruta predeterminada o una ruta estática personalizada, como se describió antes, permitirán que las instancias con direcciones IP externas lleguen a kms.windows.googlecloud.com. Si tienes instancias de Windows sin direcciones IP externas, también debes habilitar el Acceso privado a Google para que las instancias con direcciones IP internas solo puedan enviar tráfico a la dirección IP externa kms.windows.googlecloud.com. Esa dirección IP, 35.190.247.13, está incluida en la lista de direcciones IP para las API y los servicios de Google.

Requisitos de la regla de firewall

La regla de firewall implícita de permiso de salida permite que las instancias realicen solicitudes y reciban respuestas establecidas. A menos que crees reglas de firewall personalizadas que nieguen la salida, las instancias de Windows pueden comunicarse con kms.windows.googlecloud.com.

Si personalizas las reglas de firewall, se recomienda que crees una regla de permiso de salida de alta prioridad que permita la comunicación con 35.190.247.13 de manera explícita. De esta manera, a medida que modificas las reglas del firewall, no inhabilitarás de manera accidental la activación de Windows.

En los ejemplos siguientes de gcloud, se crea la regla de salida recomendada con la máxima prioridad:

gcloud compute firewall-rules create [RULE_NAME] \
    --direction=EGRESS \
    --network=[NETWORK] \
    --action=ALLOW \
    --rules=tcp:1688 \
    --destination-ranges=35.190.247.13/32 \
    --priority=0

Reemplaza [RULE_NAME] con un nombre para esta regla de firewall y [NETWORK] con el nombre de tu red de VPC.

Verifica si una instancia se inició de manera correcta

Las instancias de Windows experimentan un tiempo de inicio más largo debido al proceso sysprep. GCP Console puede mostrar que la instancia está en ejecución, incluso si el proceso sysprep aún no se completó. A fin de verificar si la instancia se inició de manera correcta y está lista para usarse, verifica la salida del puerto en serie con el comando siguiente:

gcloud compute instances get-serial-port-output [INSTANCE_NAME]

donde [INSTANCE_NAME] es el nombre de la instancia que deseas verificar.

...[snip]...
Running schtasks with arguments /run /tn GCEStartup
-->  SUCCESS: Attempted to run the scheduled task "GCEStartup".
-------------------------------------------------------------
Instance setup finished. [INSTANCE_NAME] is ready to use.
-------------------------------------------------------------

Inhabilita las actualizaciones automáticas de componentes

Si tienes instancias de Windows con versiones con imágenes v20170509 y posteriores o con la versión 4.1.0 y posteriores del agente, los componentes proporcionados por Google, como el agente, los metadatos y las secuencias de comandos sysprep, se actualizan de manera automática con una tarea programada. La tarea programada se configura con el paquete google-compute-engine-auto-updater.

Si deseas administrar las actualizaciones de forma manual o administrar las actualizaciones con un sistema alternativo, puedes inhabilitar estas actualizaciones automáticas de componentes si quitas el paquete google-compute-engine-auto-updater:

  1. En la instancia de Windows Server, abre una terminal de PowerShell como administrador.
  2. Ejecuta el comando googet remove para borrar el paquete:

    PS C:\\> googet remove google-compute-engine-auto-updater
    

De manera opcional, puedes reinstalar el paquete para habilitar las actualizaciones automáticas de componentes:

  1. En la instancia de Windows Server, abre una terminal de PowerShell como administrador.
  2. Ejecuta el comando googet install para instalar el paquete:

    PS C:\\> googet install google-compute-engine-auto-updater
    

De manera alternativa, puedes inhabilitar las actualizaciones si estableces el valor de disable-agent-updates como true en metadatos personalizados de proyecto o instancia. El valor de los metadatos inhabilita las actualizaciones sin quitar el paquete ni la tarea.

Habilita o inhabilita características de instancias de Windows

Si tienes instancias de Windows con versiones con imágenes v20170509 y posteriores, o con la versión 4.1.0 y posterior del agente, puedes configurar la instancia en un archivo de configuración o en metadatos personalizados de proyectos o instancias. El archivo de configuración está en formato INI y se encuentra en la ruta siguiente:

C:\Program Files\Google\Compute Engine\instance_configs.cfg

El sistema anula los ajustes de configuración en el siguiente orden de prioridad, desde la prioridad más alta hasta la más baja:

  1. Parámetros de configuración establecidos en el archivo de configuración
  2. Parámetros de configuración establecidos en metadatos personalizados de nivel de instancia
  3. Parámetros de configuración establecidos en metadatos personalizados a nivel de proyecto

Por ejemplo, si puedes habilitar la función accountManager en un archivo de configuración, la instancia ignora los parámetros que estableces en los metadatos personalizados para inhabilitarla.

Uno de los beneficios de establecer estos parámetros en el archivo de configuración es que esa configuración persiste cuando creas una imagen personalizada para una instancia de Windows Server. Los metadatos personalizados de nivel de instancia no persisten más allá de la vida de la instancia.

Puedes inhabilitar diferentes funciones de instancias de Windows con los ejemplos siguientes.

Haz esto para inhabilitar el administrador de cuentas:

  • Archivo de configuración:

    [accountManager]
    disable=true
    
  • En los metadatos personalizados, establece disable-account-manager como true en los metadatos.

Haz esto para inhabilitar el administrador de direcciones:

  • Entrada del archivo de configuración:

    [addressManager]
    disable=true
    
  • En los metadatos personalizados, establece disable-address-manager como true en los metadatos.

Clústeres de conmutación por error de Windows Server

Haz esto para habilitar el agente de clústeres de conmutación por error de Windows Server:

  • Entrada del archivo de configuración:

    [wsfc]
    enable=true
    
  • En los metadatos personalizados, establece enable-wsfc como true en los metadatos.

Usa varios balanceadores de cargas internos

Especifica la dirección IP de la instancia de balanceo de cargas interno para los clústeres de conmutación por error. Esta es una configuración avanzada que no necesitas establecer para un clúster de conmutación por error dedicado.

Por lo general, se usa una instancia de balanceo de cargas interno para dirigir el tráfico de red a una instancia de VM a la vez. Si agregas una segunda instancia de balanceo de cargas interno que usa las instancias de VM de clústeres de conmutación por error como parte de un backend de sitio web con balanceo de cargas, tendrías dos direcciones IP de balanceo de cargas interno. Si los clústeres de conmutación por error usan 10.0.0.10 y el balanceador de cargas del sitio web usa 10.0.0.11, debes especificar la dirección IP del balanceador de cargas que usas para los clústeres de conmutación por error. Con esta opción, se desambigua la dirección que está en uso para el clúster.

  • Entrada del archivo de configuración:

    [wsfc]
    addresses=10.0.0.10
    
  • En metadatos personalizados, establece wsfc-addrs en 10.0.0.10.

Cambia el puerto del agente de agrupación de clústeres

Establece el puerto del agente de los clústeres de conmutación por error. El puerto predeterminado es 59998. Debes especificar un puerto solo cuando desees usar uno diferente:

  • Entrada del archivo de configuración:

    [wsfc]
    port=12345
    
  • En metadatos personalizados, establece wsfc-agent-port en el número de puerto.

Notas de la versión de imágenes

Las imágenes anteriores no usan un archivo de configuración y solo tienen un subconjunto de funciones. Las versiones con imágenes entre la versión v20160112 y la v20170509, o la versión entre 3.2.1.04.0.0 del agente de Windows requieren que uses los siguientes valores de metadatos personalizados:

  • Establece disable-account-manager en true en metadatos de la instancia para inhabilitar el administrador de cuentas.
  • Establece disable-address-manager en true en metadatos de la instancia para inhabilitar el administrador de direcciones.

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Compute Engine