VM-Manager einrichten

In Compute Engine können Sie die Betriebssysteme, die auf Ihren virtuellen Maschinen (VMs) ausgeführt werden, mithilfe von VM Manager verwalten.

Die Schritte zum Einrichten der VMs zur Verwendung von VM Manager finden Sie unter Einrichtung: Übersicht.

Wenn Sie VM Manager eingerichtet haben, können Sie Audit-Logs für API-Vorgänge anzeigen, die mit der OS Config API ausgeführt wurden. Weitere Informationen dazu finden Sie unter VM Manager-Audit-Logs ansehen.

Vorbereitung

Einrichtung: Übersicht

Führen Sie die folgenden Schritte aus, um VM Manager einzurichten:

  1. Aktivieren Sie in Ihrem Google Cloud-Projekt die OS Config API.

  2. Aktivieren Sie den OS Config-Agent. Legen Sie dazu Projekt- oder Instanzmetadaten fest. Sie können entweder Instanzmetadaten für jede VM oder Projektmetadaten festlegen, die für alle VMs in Ihrem Projekt gelten.

  3. Wenn Ihre VM in einem privaten VPC-Netzwerk ausgeführt wird und keinen öffentlichen Internetzugang hat, aktivieren Sie den privaten Google-Zugriff.

  4. Prüfen Sie auf jeder VM, ob Sie ein aktiviertes Dienstkonto haben. Für VMs, die mit dem gcloud-Befehlszeilentool oder der Google Cloud Console erstellt wurden, ist ein Dienstkonto standardmäßig aktiviert.

  5. Prüfen Sie auf jeder VM, ob der OS Config-Agent installiert ist.

  6. Installieren Sie auf jeder VM den OS Config-Agent, falls dieser noch nicht installiert ist.

  7. Optional: Deaktivieren Sie für Ihr Projekt oder auf den einzelnen VMs die nicht benötigten Features.

OS Config Service API aktivieren

Aktivieren Sie in Ihrem Cloud-Projekt die OS Config API. Führen Sie den folgenden Befehl aus, um die API zu aktivieren:

gcloud services enable osconfig.googleapis.com

Prüfen, ob der OS Config-Agent installiert ist

Der OS Config-Agent ist auf Red Hat Enterprise Linux- (RHEL), Debian-, CentOS- und Windows-Images mit dem Build-Datum v20200114 oder später standardmäßig installiert.

Linux

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Agent auf Ihrer Linux-VM installiert ist:

sudo systemctl status google-osconfig-agent

Wenn der Agent installiert ist und ausgeführt wird, sieht die Ausgabe in etwa so aus:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

Windows

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Agent auf Ihrer Windows-VM installiert ist:

PowerShell Get-Service google_osconfig_agent

Wenn der Agent installiert ist und ausgeführt wird, sieht die Ausgabe in etwa so aus:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

OS Config-Agent installieren

Bevor Sie diese Schritte ausführen, um den Agent zu installieren, prüfen Sie, ob der Agent bereits auf Ihrer VM ausgeführt wird.

Installieren Sie auf jeder VM den OS Config-Agent. Sie haben folgende Möglichkeiten, den OS Config-Agent zu installieren:

Agent manuell installieren

Greifen Sie auf diese Option zurück, um den OS Config-Agent auf einer vorhandenen VM zu installieren.

Führen Sie die folgenden Schritte aus, um den Agent zu installieren:

  1. Stellen Sie eine Verbindung zur VM her, auf der Sie den OS Config-Agent installieren möchten.

  2. Installieren Sie den OS Config-Agent.

    Windows Server

    Führen Sie den folgenden Befehl aus, um den OS Config-Agent auf einem Windows-Server zu installieren:

    googet -noconfirm install google-osconfig-agent
    

    Ubuntu

    Führen Sie die folgenden Befehle aus, um den OS Config-Agent auf einer Ubuntu-VM zu installieren:

    1. Richten Sie das Ubuntu-Repository ein.

      • Führen Sie für Ubuntu 16.04 die folgenden Befehle aus:

        1. Fügen Sie das Ubuntu-Repository hinzu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
          /etc/apt/sources.list.d/google-compute-engine.list"
          
        2. Importieren Sie den öffentlichen Google Cloud-Schlüssel.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
          sudo apt-key add -
          
      • Führen Sie für Ubuntu 18.04 und höher die folgenden Befehle aus:

        1. Fügen Sie das Ubuntu-Repository hinzu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
          /etc/apt/sources.list.d/google-compute-engine.list"
          
        2. Importieren Sie den öffentlichen Google Cloud-Schlüssel.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
          sudo apt-key add -
          
    2. Installieren Sie den OS Config-Agent.

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

    Debian

    Führen Sie die folgenden Befehle aus, um den OS Config-Agent auf einer Debian-VM zu installieren:

    sudo apt update
    sudo apt -y install google-osconfig-agent
    

    Google Cloud-Repository und öffentlichen Schlüssel hinzufügen

    Wenn Sie eine VM-Instanz verwenden, die nicht aus einem von Google bereitgestellten Image erstellt wurde, oder wenn Sie eine Fehlermeldung des Typs "Unable to locate package" (Paket nicht gefunden) erhalten, führen Sie die folgenden Schritte aus, um das Google Cloud-Repository hinzuzufügen und den öffentlichen Schlüssel zu importieren.

    Nachdem Sie das Repository hinzugefügt und den Schlüssel importiert haben, können Sie die Befehle zum Installieren des OS Config-Agents ausführen.

    • Führen Sie für Debian 9 (Stretch) die folgenden Befehle aus:

      1. Fügen Sie das Debian-Repository hinzu.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        
      2. Importieren Sie den öffentlichen Google Cloud-Schlüssel.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        
    • Führen Sie für Debian 10 (Buster) die folgenden Befehle aus:

      1. Fügen Sie das Debian-Repository hinzu.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        
      2. Importieren Sie den öffentlichen Google Cloud-Schlüssel.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

    RHEL/CentOS

    Führen Sie den folgenden Befehl aus, um den OS Config-Agent auf einer RHEL- oder CentOS-VM zu installieren:

    sudo yum -y install google-osconfig-agent
    

    SLES/openSUSE

    Führen Sie die folgenden Befehle aus, um den OS Config-Agent auf einer SLES- oder openSUSE-VM zu installieren:

    1. Richten Sie das SLES-Repository ein.

      • Führen Sie für SLES 12 den folgenden Befehl aus:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=1
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
      • Führen Sie für SLES 15 und OpenSUSE 15 den folgenden Befehl aus:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=1
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        
    2. Importieren Sie die GPG-Schlüssel für Google Cloud.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      
    3. Installieren Sie den OS Config-Agent.

      sudo zypper -n --gpg-auto-import-keys install google-osconfig-agent
      

Agent mithilfe eines Startskripts installieren

Sie können auch die manuellen Installationsbefehle verwenden, um ein Startskript zu erstellen, mit dem beim Erstellen der VM der OS Config-Agent installiert wird.

  1. Kopieren Sie die manuellen Befehle für Ihr Betriebssystem.
  2. Stellen Sie das Startskript für die VM-Erstellungsmethode bereit.

    Wenn Sie beispielsweise den Befehl gcloud compute instances create zum Erstellen einer neuen Debian 9-VM verwenden, sieht Ihr Befehl in etwa so aus: Ersetzen Sie VM_NAME durch den Namen Ihrer VM.

    gcloud compute instances create VM_NAME \
       --image-family=debian-9 --image-project=debian-cloud \
       --metadata startup-script='#! /bin/bash
       sudo apt update
       sudo apt -y install google-osconfig-agent'
  3. Überprüfen Sie, ob das Startskript ausgeführt wird. Ob das Startskript ausgeführt wird, können Sie in den Logs oder in der seriellen Konsole prüfen.

Metadatenwerte festlegen

Legen Sie in Ihrem Cloud-Projekt oder Ihrer VM den Metadatenwert enable-osconfig auf TRUE fest. Wenn Sie den Metadatenwert enable-osconfig auf TRUE festlegen, werden die folgenden Features aktiviert:

  • OS Inventory Management
  • OS Patch Management
  • OS Configuration Management

Nachdem Sie den Metadatenwert enable-osconfig auf TRUE gesetzt haben, können Sie die nicht benötigten Features deaktivieren.

Console

Sie können die Metadatenwerte mit einer der folgenden Optionen auf Ihre Cloud-Projekte oder VMs anwenden:

  • Option 1: Legen Sie in den projektweiten Metadaten enable-osconfig fest, damit der Eintrag für alle VMs im Projekt gilt.

    1. Rufen Sie in der Google Cloud Console die Seite Metadaten auf.

      Zur Seite "Metadaten"

    2. Klicken Sie auf Bearbeiten.

    3. Fügen Sie den folgenden Metadateneintrag hinzu.

      Schlüssel: enable-osconfig
      Wert: TRUE

      Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

      • Schlüssel: enable-osconfig
        Wert: TRUE
      • Schlüssel: enable-guest-attributes
        Wert: TRUE
    4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

  • Option 2: Legen Sie beim Erstellen einer Instanz in den VM-Metadaten enable-osconfig fest.

    1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

      Zur Seite "VM-Instanzen"

    2. Klicken Sie auf Erstellen.

    3. Geben Sie auf der Seite Instanz erstellen die gewünschten Attribute für Ihre VM an.

    4. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, einzelne Mandanten.

    5. Fügen Sie im Abschnitt Metadaten die folgenden Metadateneinträge hinzu:

      Schlüssel: enable-osconfig
      Wert: TRUE

      Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

      • Schlüssel: enable-osconfig
        Wert: TRUE
      • Schlüssel: enable-guest-attributes
        Wert: TRUE
    6. Klicken Sie auf Erstellen, um die Instanz anzulegen.

  • Option 3: Legen Sie in den Metadaten einer vorhandenen VM enable-osconfig fest.

    1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

      Zur Seite "VM-Instanzen"

    2. Klicken Sie auf den Namen der VM, für die Sie den Metadatenwert festlegen möchten.

    3. Klicken Sie auf der Seite Instanzdetails auf Bearbeiten, um die Einstellungen zu bearbeiten.

    4. Fügen Sie unter Benutzerdefinierte Metadaten die folgenden Metadateneinträge hinzu:

      Schlüssel: enable-osconfig
      Wert: TRUE

      Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

      • Schlüssel: enable-osconfig
        Wert: TRUE
      • Schlüssel: enable-guest-attributes
        Wert: TRUE
    5. Klicken Sie auf Speichern, um Ihre Änderungen für die VM zu übernehmen.

gcloud

Verwenden Sie den Befehl project-info add-metadata oder instances add-metadata gcloud mit dem Flag --metadata=enable-osconfig=TRUE.

Sie können die Metadatenwerte auf Ihre Projekte oder VMs anwenden. Verwenden Sie dazu eine der folgenden Optionen:

  • Option 1: Legen Sie enable-osconfig in den projektübergreifenden Metadaten fest, damit der Eintrag für alle Instanzen im Projekt gilt. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

    gcloud compute project-info add-metadata \
      --project PROJECT_ID \
      --metadata=enable-osconfig=TRUE
    

    Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

    gcloud compute project-info add-metadata \
      --project PROJECT_ID \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    
  • Option 2: Legen Sie in den Metadaten einer vorhandenen Instanz enable-osconfig fest. Ersetzen Sie VM_NAME durch den Namen Ihrer VM.

    gcloud compute instances add-metadata VM_NAME \
      --metadata=enable-osconfig=TRUE
    

    Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

    gcloud compute instances add-metadata VM_NAME \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    
  • Option 3: Legen Sie beim Erstellen einer Instanz in den Instanzmetadaten enable-osconfig fest. Ersetzen Sie VM_NAME durch den Namen Ihrer VM.

    gcloud compute instances create VM_NAME \
      --metadata=enable-osconfig=TRUE
    

    Damit OS Inventory Management funktioniert, müssen Sie sowohl enable-osconfig als auch enable-guest-attributes angeben.

    gcloud compute instances create VM_NAME \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    

API

Sie können den Metadatenwert auf Cloud-Projekt- oder Instanzebene festlegen.

Das folgende Schlüssel/Wert-Paar ist als Teil des Metadatenattributs erforderlich:

  • Schlüssel: enable-osconfig
    Wert: TRUE

Fügen Sie für OS Inventory Management außerdem das folgende Schlüssel/Wert-Paar hinzu:

  • Schlüssel: enable-guest-attributes
    Wert: TRUE

Prüfen, ob der OS Config-Agent installiert ist

Der OS Config-Agent ist auf Red Hat Enterprise Linux- (RHEL), Debian-, CentOS- und Windows-Images mit dem Build-Datum v20200114 oder später standardmäßig installiert.

Linux

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Agent auf Ihrer Linux-VM installiert ist:

systemctl status google-osconfig-agent

Wenn der Agent installiert ist und ausgeführt wird, sieht die Ausgabe in etwa so aus:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

Windows

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Agent auf Ihrer Windows-VM installiert ist:

PowerShell Get-Service google_osconfig_agent

Wenn der Agent installiert ist und ausgeführt wird, sieht die Ausgabe in etwa so aus:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Was ist ein aktiver OS Config-Agent?

Damit der OS Config-Agent als aktiv und abrechenbar gilt, muss er alle der folgenden Anforderungen erfüllen:

  • VM Manager muss eingerichtet sein.
  • Die VM muss den Status RUNNING haben und der OS Config-Agent muss mit dem OS Config-Dienst kommunizieren.

    Wird eine VM gestoppt, angehalten oder die Verbindung zum Netzwerk getrennt, wird der Agent auf dieser VM nicht als aktiver Agent gezählt.

Nicht benötigte Features deaktivieren

Features, die Sie möglicherweise nicht benötigen, können Sie durch Festlegen der folgenden Metadatenwerte deaktivieren: osconfig-disabled-features=FEATURE1,FEATURE2.

Ersetzen Sie FEATURE1,FEATURE2 durch einen der folgenden Werte:

  • OS Inventory Management: osinventory
  • OS Patch Management: tasks
  • OS Configuration Management: guestpolicies

Sie können diese Werte entweder über die Google Cloud Console, das gcloud-Befehlszeilentool oder die Compute Engine API festlegen.

Console

Sie können die Metadatenwerte in Ihren Cloud-Projekten oder VMs mit einer der folgenden Optionen deaktivieren:

  • Option 1: Deaktivieren Sie das Feature in den projektweiten Metadaten, damit der Eintrag für alle Instanzen im Projekt gilt:

    1. Rufen Sie in der Google Cloud Console die Seite Metadaten auf.

      Zur Seite "Metadaten"

    2. Klicken Sie auf Bearbeiten.

    3. Fügen Sie den folgenden Metadateneintrag hinzu:

      Schlüssel: osconfig-disabled-features
      Wert: FEATURE1,FEATURE2

      Beispiel:
      Schlüssel: osconfig-disabled-features
      Wert: osinventory,guestpolicies

    4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

  • Option 2: Deaktivieren Sie das Feature in den Metadaten einer vorhandenen VM.

    1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

      Zur Seite "VM-Instanzen"

    2. Klicken Sie auf den Namen der VM, für die Sie den Metadatenwert festlegen möchten.

    3. Klicken Sie auf der Seite Instanzdetails auf Bearbeiten, um die VM-Einstellungen zu bearbeiten.

    4. Fügen Sie unter Benutzerdefinierte Metadaten die folgenden Metadateneinträge hinzu:

      Schlüssel: osconfig-disabled-features
      Wert: FEATURE1,FEATURE2

      Beispiel:
      Schlüssel: osconfig-disabled-features
      Wert: osinventory

    5. Klicken Sie auf Speichern, um Ihre Änderungen für die VM zu übernehmen.

gcloud

Verwenden Sie den Befehl project-info add-metadata oder instances add-metadata gcloud mit dem Flag --metadata=osconfig-disabled-features.

Wenn Sie mehrere Features deaktivieren, muss das Flag das Format --metadata=^:^osconfig-disabled-features=FEATURE1,FEATURE2 haben. Siehe Beispiel 2.

Beispiele

Beispiel 1 Führen Sie mit dem gcloud-Befehlszeilentool den folgenden Befehl aus, um OS Patch Management auf Cloud-Projektebene zu deaktivieren. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

Beispiel 2 Führen Sie mit dem gcloud-Befehlszeilentool den folgenden Befehl aus, um OS Configuration Management und OS Inventory Management auf Projektebene zu deaktivieren. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=^:^osconfig-disabled-features=osinventory,guestpolicies

API

Sie können den Metadatenwert auf Cloud-Projekt- oder Instanzebene festlegen.

Das folgende Schlüssel/Wert-Paar ist als Teil des Metadatenattributs erforderlich:

  • Schlüssel: osconfig-disabled-features
  • Wert: Kann ein beliebiger Wert oder eine Kombination der folgenden Flags sein:
    • osinventory
    • tasks
    • guestpolicies

OS Config-Agent aktualisieren

Zum Aktualisieren des OS Config-Agents müssen Sie das Paket für Ihr Betriebssystem aktualisieren.

CentOS/RHEL

Führen Sie den folgenden Befehl aus, um den Agent unter den Betriebssystemen CentOS und RHEL zu aktualisieren:

sudo yum update google-osconfig-agent

Debian/Ubuntu

Führen Sie die folgenden Befehle aus, um den Agent unter den Betriebssystemen Debian und Ubuntu zu aktualisieren:

sudo apt update
sudo apt install google-osconfig-agent

SLES

Führen Sie den folgenden Befehl aus, um den Agent in SLES zu aktualisieren:

sudo zypper -n update google-osconfig-agent

Windows

Führen Sie den folgenden Befehl aus, um den Agent unter Windows-Betriebssystemen zu aktualisieren:

googet update google-osconfig-agent

Nächste Schritte