Su Compute Engine puoi gestire i sistemi operativi in esecuzione sulle tue macchine virtuali (VM) utilizzando VM Manager.
Per rivedere i passaggi necessari per configurare le VM per l'utilizzo di VM Manager, consulta la panoramica della configurazione.
Dopo aver configurato VM Manager, puoi visualizzare gli audit log per le operazioni API eseguite con l'API OS Config, vedi Visualizzazione degli audit log di VM Manager.
Prima di iniziare
- Se vuoi utilizzare gli esempi a riga di comando in questa guida:
- Installa o aggiorna la versione più recente di Google Cloud CLI.
- Imposta una regione e una zona predefinite.
- Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso all'API.
- Esamina le quote di configurazione del sistema operativo per il tuo progetto.
Panoramica della configurazione
Per abilitare VM Manager, hai due opzioni:
- Abilitazione automatica: si applica all'intero progetto Google Cloud. Puoi completare l'attivazione automatica dalla console Google Cloud. Potresti comunque dover completare manualmente alcuni passaggi.
Abilitazione manuale: può essere eseguita per VM o per l'intero progetto Google Cloud.
Manuale
Per configurare manualmente VM Manager, completa i seguenti passaggi:
- Nel progetto Google Cloud, abilita l'API OS Config.
- Su ogni VM, controlla se è installato l'agente OS Config. Se l'agente non è ancora installato, installa l'agente OS Config.
- Sul tuo progetto o su ogni VM, imposta i metadati dell'istanza per l'agente OS Config. Questo passaggio è necessario per rendere attivo l'agente OS Config nella tua VM o nel tuo progetto.
- Verifica che tutte le VM abbiano un account di servizio collegato. Non è necessario concedere ruoli IAM a questo account di servizio. VM Manager utilizza questo account di servizio per firmare le richieste al servizio API.
- Se la VM è in esecuzione all'interno di una rete VPC privata e non ha accesso pubblico a Internet, abilita Accesso privato Google.
- Se utilizzi un proxy HTTP per le tue VM, configura un proxy HTTP.
- Facoltativo. Sul progetto o su ogni VM, disattiva le funzionalità che non ti servono.
Automatico
La prima volta che accedi a una qualsiasi delle pagine di VM Manager nella console Google Cloud, puoi scegliere di abilitarla automaticamente.
Se segui la procedura guidata, puoi utilizzare l'attivazione automatica per completare quanto segue:
- Abilitare l'API OS Config Service nel progetto Google Cloud
- Attiva gli agenti di configurazione del sistema operativo su tutte le VM nel progetto Google Cloud in cui è installato l'agente
Sistemi operativi supportati
Per l'elenco completo dei sistemi operativi e delle versioni che supportano VM Manager, vedi Dettagli del sistema operativo.
Abilita l'API OS Config Service
Nel progetto cloud, abilita l'API OS Config.
Console
Nella console Google Cloud, abilita l'API OS Config.
gcloud
Per abilitare l'API, esegui questo comando:
gcloud services enable osconfig.googleapis.com
Verifica se è installato l'agente OS Config
L'agente OS Config è installato per impostazione predefinita su immagini CentOS, Container-Optimized
OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e
Windows Server con data di build v20200114
o successiva.
Per informazioni sulle versioni dei sistemi operativi con l'agente OS Config installato, consulta i dettagli del sistema operativo.
Questi agenti rimangono inattivi finché non attivi i metadati dell'agente
e attivi l'API del servizio.
Linux
Per verificare se nella tua VM Linux è installato l'agente, esegui questo comando:
sudo systemctl status google-osconfig-agent
Se l'agente è installato e in esecuzione, l'output è simile al seguente:
google-osconfig-agent.service - Google OSConfig Agent Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset: Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago Main PID: 369 (google_osconfig) Tasks: 8 (limit: 4374) Memory: 102.7M CGroup: /system.slice/google-osconfig-agent.service └─369 /usr/bin/google_osconfig_agent
Se l'agente non è installato, installa l'agente OS Config.
Windows
Per verificare se nella tua VM Windows è installato l'agente, esegui questo comando:
PowerShell Get-Service google_osconfig_agent
Se l'agente è installato e in esecuzione, l'output è simile al seguente:
Status Name DisplayName ------ ---- ----------- Running google_osconfig... Google OSConfig Agent
Se l'agente non è installato, installa l'agente OS Config.
Installa l'agente OS Config
Prima di seguire questi passaggi per installare l'agente, verifica che sia già in esecuzione sulla VM.
Su ogni VM, installa l'agente OS Config. Puoi installare l'agente OS Config utilizzando una delle seguenti opzioni:
- Installa l'agente manualmente utilizzando il terminale.
- Utilizza uno script di avvio sulle tue VM.
- Automatizza l'installazione di OS Config su più VM utilizzando un criterio dell'agente della suite operativa di Google Cloud.
Installa l'agente manualmente
Utilizza questa opzione per installare l'agente OS Config su una VM esistente.
Per installare l'agente, completa i seguenti passaggi:
Connettiti alla VM su cui vuoi installare l'agente OS Config.
Installa l'agente OS Config.
Windows Server
Per installare l'agente OS Config su un server Windows, esegui il comando seguente:
googet -noconfirm install google-osconfig-agent
Ubuntu
Per installare l'agente OS Config su una VM Ubuntu, esegui questi comandi:
Configurare il repository di Ubuntu.
Per Ubuntu 20.04 e versioni successive, esegui i comandi seguenti:
Aggiungi il repository Ubuntu.
sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \ /etc/apt/sources.list.d/google-compute-engine.list"
Importa la chiave pubblica di Google Cloud.
curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \ sudo apt-key add -
Per Ubuntu 18.04 e versioni successive, esegui i comandi seguenti:
Aggiungi il repository Ubuntu.
sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \ /etc/apt/sources.list.d/google-compute-engine.list"
Importa la chiave pubblica di Google Cloud.
curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \ sudo apt-key add -
Per Ubuntu 16.04, esegui i comandi seguenti:
Aggiungi il repository Ubuntu.
sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \ /etc/apt/sources.list.d/google-compute-engine.list"
Importa la chiave pubblica di Google Cloud.
curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \ sudo apt-key add -
Installa l'agente OS Config.
sudo apt update sudo apt -y install google-osconfig-agent
Debian
Per installare l'agente OS Config su una VM Debian, esegui questi comandi:
sudo apt update sudo apt -y install google-osconfig-agent
Aggiunta del repository Google Cloud e della chiave pubblica
Se utilizzi un'istanza VM non creata da un'immagine fornita da Google o ricevi il messaggio di errore "Impossibile individuare il pacchetto", completa i seguenti passaggi per aggiungere il repository Google Cloud e importare la chiave pubblica.
Dopo aver aggiunto il repository e importato la chiave, puoi eseguire i comandi per installare l'agente OS Config.
Per Debian 9 (Stretch), esegui i comandi seguenti:
Aggiungi il repository di Debian.
sudo su -c "echo 'deb http://packages.cloud.google.com/apt \ google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
Importa la chiave pubblica di Google Cloud.
curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \ sudo apt-key add -
Per Debian 10 (Buster), esegui i comandi seguenti:
Aggiungi il repository di Debian.
sudo su -c "echo 'deb http://packages.cloud.google.com/apt \ google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
Importa la chiave pubblica di Google Cloud.
curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \ sudo apt-key add -
RHEL/CentOS/Rocky Linux
Per installare l'agente OS Config su una VM RHEL 7/8, CentOS 7/8 o Rocky Linux 8/9, esegui il comando seguente:
sudo yum -y install google-osconfig-agent
SLES/openSUSE
Per installare l'agente OS Config su una VM SLES o openSUSE, esegui i comandi seguenti:
Configurare il repository SLES.
Per SLES 12, esegui il comando seguente:
sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM [google-compute-engine] name=Google Compute Engine baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable enabled=1 gpgcheck=1 repo_gpgcheck=0 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg EOM"
Per SLES 15 e OpenSUSE 15, esegui il comando seguente:
sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM [google-compute-engine] name=Google Compute Engine baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable enabled=1 gpgcheck=1 repo_gpgcheck=0 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg EOM"
Importa le chiavi GPG per Google Cloud.
sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \ --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
Installa l'agente OS Config.
sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
Installa l'agente utilizzando uno script di avvio
Puoi anche utilizzare i comandi di installazione manuale per creare uno script di avvio che installi l'agente OS Config durante la creazione delle VM.
- Copia i comandi manuali per il tuo sistema operativo.
Fornisci lo script di avvio al tuo metodo di creazione delle VM.
Ad esempio, se utilizzi il comando
gcloud compute instances create
per creare una nuova VM Debian 9, il comando sarà simile al seguente:gcloud compute instances create VM_NAME \ --image-family=debian-9 --image-project=debian-cloud \ --metadata startup-script='#! /bin/bash apt update apt -y install google-osconfig-agent'
Sostituisci
VM_NAME
con il nome della tua VM.Verifica che lo script di avvio sia completo. Per verificare se lo script di avvio è completo, esamina i log o controlla la console di serie.
Impostare i valori dei metadati
Puoi impostare i metadati dell'istanza su ogni VM o i metadati del progetto che si applicano a tutte le VM nel progetto.
Nel progetto o nella VM Cloud, imposta il valore dei metadati enable-osconfig
su TRUE
. L'impostazione del valore dei metadati enable-osconfig
su TRUE
consente quanto segue:
- OS Patch Management
- OS Configuration Management
- OS Inventory Management.
- Per la versione precedente di Gestione dell'inventario del sistema operativo, devi anche impostare il valore dei metadati
enable-guest-attributes
suTRUE
. Se entrambi i valori dei metadati non sono impostati, la dashboard mostrano data
per la VM. Questo passaggio non è necessario per la versione successiva. Per informazioni sulle due versioni di gestione dell'inventario del sistema operativo, consulta le versioni di gestione dell'inventario del sistema operativo.
- Per la versione precedente di Gestione dell'inventario del sistema operativo, devi anche impostare il valore dei metadati
Console
Puoi applicare i valori dei metadati ai progetti o alle VM Cloud utilizzando una delle seguenti opzioni:
Opzione 1: imposta
enable-osconfig
nei metadati a livello di progetto, in modo che vengano applicati a tutte le VM nel tuo progetto.Nella console Google Cloud, vai alla pagina Metadati.
Fai clic su Modifica.
Aggiungi la seguente voce di metadati:
Chiave:
enable-osconfig
Valore:TRUE
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:- Chiave:
enable-osconfig
Valore:TRUE
- Chiave:
enable-guest-attributes
Valore:TRUE
- Chiave:
Fai clic su Salva per applicare le modifiche.
Opzione 2: imposta
enable-osconfig
nei metadati delle VM quando crei un'istanza.Nella console Google Cloud, vai alla pagina Crea un'istanza.
Specifica i dettagli della VM.
Espandi la sezione Networking, dischi, sicurezza, gestione, single tenancy ed esegui le operazioni seguenti:
- Espandi la sezione Gestione.
Nella sezione Metadati, fai clic su Aggiungi elemento e aggiungi le seguenti voci di metadati:
Chiave:
enable-osconfig
Valore:TRUE
.Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:- Chiave:
enable-osconfig
Valore:TRUE
- Chiave:
enable-guest-attributes
Valore:TRUE
- Chiave:
Per creare la VM, fai clic su Crea.
Opzione 3: imposta
enable-osconfig
nei metadati di una VM esistente.Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.
Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni.
In Metadati personalizzati, aggiungi le seguenti voci di metadati:
Chiave:
enable-osconfig
Valore:TRUE
.Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:- Chiave:
enable-osconfig
Valore:TRUE
- Chiave:
enable-guest-attributes
Valore:TRUE
- Chiave:
Fai clic su Salva per applicare le modifiche alla VM.
gcloud
Utilizza il comando project-info add-metadata
o il comando instances add-metadata
con il flag --metadata=enable-osconfig=TRUE
.
Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:
Opzione 1: imposta
enable-osconfig
nei metadati a livello di progetto, in modo che vengano applicati a tutte le istanze del progetto:gcloud compute project-info add-metadata \ --project PROJECT_ID \ --metadata=enable-osconfig=TRUE
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:gcloud compute project-info add-metadata \ --project PROJECT_ID \ --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
Sostituisci
PROJECT_ID
con l'ID progetto.Opzione 2: imposta
enable-osconfig
nei metadati di un'istanza esistente.gcloud compute instances add-metadata VM_NAME \ --metadata=enable-osconfig=TRUE
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:gcloud compute instances add-metadata VM_NAME \ --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
Sostituisci
VM_NAME
con il nome della tua VM.Opzione 3: imposta
enable-osconfig
nei metadati dell'istanza quando crei un'istanza.gcloud compute instances create VM_NAME \ --metadata=enable-osconfig=TRUE
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori
enable-osconfig
eenable-guest-attributes
:gcloud compute instances create VM_NAME \ --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
Sostituisci
VM_NAME
con il nome della tua VM.
API
Puoi impostare il valore dei metadati a livello di progetto o istanza di Cloud.
- Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni dell'API per impostare i metadati personalizzati a livello di progetto.
- Per istruzioni sull'impostazione dei metadati dell'istanza, segui le istruzioni dell'API per impostare i metadati dell'istanza.
La seguente coppia chiave-valore è obbligatoria come parte della proprietà dei metadati:
- Chiave:
enable-osconfig
Valore:TRUE
Per la versione precedente di Gestione dell'inventario del sistema operativo, aggiungi anche la seguente coppia chiave-valore:
- Chiave:
enable-guest-attributes
Valore:TRUE
Configurare un proxy HTTP
Se utilizzi un proxy HTTP per le tue VM, esegui questi comandi per impostare le variabili di ambiente http_proxy
e https_proxy
.
Devi anche escludere il server di metadati (169.254.169.254
) configurando la variabile di ambiente no_proxy
in modo che l'agente OS Config possa accedere al server di metadati locale.
Linux
Aggiungi le seguenti variabili di ambiente in un file di configurazione a livello di sistema. Ad esempio, in CentOS 7 aggiungi le impostazioni del proxy nel file /etc/systemd/system.conf
:
http_proxy="http://PROXY_IP:PROXY_PORT" https_proxy="http://PROXY_IP:PROXY_PORT" no_proxy=169.254.169.254,metadata,metadata.google.internal # Skip proxy for the local Metadata Server.
Sostituisci PROXY_IP
e PROXY_PORT
con l'indirizzo IP e il numero di porta del server proxy, rispettivamente.
Windows
Esegui questi comandi dal prompt dei comandi degli amministratori.
setx http_proxy http://PROXY_IP:PROXY_PORT /m setx https_proxy http://PROXY_IP:PROXY_PORT /m setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m
Sostituisci PROXY_IP
e PROXY_PORT
con l'indirizzo IP e il numero di porta del server proxy, rispettivamente.
Google consiglia di escludere *.googleapis.com
aggiungendo la variabile di ambiente no_proxy
per evitare problemi di connessione da parte dell'agente OS Config. Se vuoi connettere solo VM specifiche all'agente OS Config,
prefissa la zona in cui si trovano le VM e utilizza il formato [zone-name]-osconfig.googleapis.com
.
Ad esempio: us-central1-f-osconfig.googleapis.com
.
Disattivare le funzionalità che non ti servono
Puoi disattivare le funzionalità potenzialmente non necessarie impostando i seguenti valori di metadati:
osconfig-disabled-features=FEATURE1,FEATURE2
.
Sostituisci FEATURE1,FEATURE2
con uno
dei seguenti valori:
- OS Inventory Management:
osinventory
- OS Patch Management:
tasks
- OS Configuration Management:
guestpolicies
Puoi impostare questi valori utilizzando la console Google Cloud, Google Cloud CLI o l'API Compute Engine.
Console
Puoi disabilitare i valori dei metadati nei progetti o nelle VM Cloud utilizzando una delle seguenti opzioni:
Opzione 1: disattiva la funzionalità nei metadati a livello di progetto in modo che venga applicata a tutte le istanze del progetto.
Nella console Google Cloud, vai alla pagina Metadati.
Fai clic su Modifica.
Aggiungi la seguente voce di metadati:
Chiave:
osconfig-disabled-features
Valore:FEATURE1,FEATURE2
Ad esempio:
Chiave:osconfig-disabled-features
Valore:osinventory,guestpolicies
Fai clic su Salva per applicare le modifiche.
Opzione 2: disattiva la funzionalità nei metadati di una VM esistente.
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome della VM su cui vuoi impostare il valore dei metadati.
Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni della VM.
In Metadati personalizzati, aggiungi le seguenti voci di metadati:
Chiave:
osconfig-disabled-features
Valore:FEATURE1,FEATURE2
Ad esempio:
Chiave:osconfig-disabled-features
Valore:osinventory
Fai clic su Salva per applicare le modifiche alla VM.
gcloud
Utilizza il comando project-info add-metadata
o il comando instances add-metadata
gcloud
con il flag --metadata=osconfig-disabled-features
.
Se disattivi più funzionalità, il flag deve avere il formato --metadata=osconfig-disabled-features=FEATURE1,FEATURE2
.
Vedi l'esempio 2.
Esempi
Esempio 1 Per disabilitare la gestione delle patch del sistema operativo a livello di progetto cloud utilizzando Google Cloud CLI, esegui questo comando:
gcloud compute project-info add-metadata \ --project PROJECT_ID \ --metadata=osconfig-disabled-features=tasks
Esempio 2 Per disabilitare la gestione della configurazione del sistema operativo e la gestione dell'inventario del sistema operativo a livello di progetto utilizzando Google Cloud CLI, esegui questo comando:
gcloud compute project-info add-metadata \ --project PROJECT_ID \ --metadata=osconfig-disabled-features=osinventory,guestpolicies
Sostituisci PROJECT_ID
con l'ID progetto.
API
Puoi impostare il valore dei metadati a livello di progetto o istanza di Cloud.
- Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni dell'API per impostare i metadati personalizzati a livello di progetto.
- Per istruzioni sull'impostazione dei metadati dell'istanza, segui le istruzioni dell'API per impostare i metadati dell'istanza.
La seguente coppia chiave-valore è obbligatoria come parte della proprietà dei metadati:
- Chiave:
osconfig-disabled-features
- Valore: può essere uno qualsiasi o una combinazione dei seguenti flag:
osinventory
tasks
guestpolicies
Requisiti per un agente OS Config attivo
Affinché sia considerato attivo e fatturabile, l'agente OS Config deve soddisfare tutti i seguenti requisiti:
- VM Manager deve essere configurato.
La VM deve essere in stato
RUNNING
e l'agente OS Config deve comunicare con il servizio OS Config.Se una VM viene arrestata, sospesa o disconnessa dalla rete, l'agente su quella VM non viene conteggiato come agente attivo.
Verificare la configurazione
Dopo aver completato la procedura di configurazione, puoi verificare la configurazione.
Disabilita l'agente OS Config
La disabilitazione dell'agente OS Config non influisce sul comportamento della VM. Puoi disabilitare l'agente nello stesso modo in cui interrompi gli altri servizi del sistema operativo.
Linux
Per disattivare l'agente utilizzando systemctl
, esegui questi comandi:
sudo systemctl stop google-osconfig-agent sudo systemctl disable google-osconfig-agent
Windows
Per disattivare l'agente utilizzando powershell
, esegui questo comando:
PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]
Quali sono i passaggi successivi?
- Crea un'assegnazione dei criteri del sistema operativo.
- Visualizza i dettagli del sistema operativo.
- Crea job di applicazione patch.
- Scopri di più su VM Manager.