Configura VM Manager

Su Compute Engine puoi gestire i sistemi operativi in esecuzione sulle tue macchine virtuali (VM) utilizzando VM Manager.

Per esaminare i passaggi necessari per configurare le VM in modo che utilizzino VM Manager, consulta la panoramica della configurazione.

Dopo aver configurato VM Manager, puoi visualizzare gli audit log per le operazioni API eseguite con l'API OS Config, vedi Visualizzazione degli audit log di VM Manager.

Prima di iniziare

Panoramica della configurazione

Per abilitare VM Manager, hai due opzioni:

  • Abilitazione automatica: si applica all'intero progetto Google Cloud. Completa l'abilitazione automatica dalla console. Potresti comunque dover completare manualmente alcuni passaggi.
  • Abilitazione manuale: può essere eseguita per VM o per l'intero progetto Google Cloud.

Manuale

Per configurare manualmente VM Manager, completa i passaggi seguenti:

  1. Nel progetto Google Cloud, attiva l'API OS Config.
  2. Nel progetto Google Cloud, attiva l'API Container Analysis.
  3. Su ogni VM, controlla se è installato l'agente OS Config. Se l'agente non è ancora installato, installa l'agente OS Config.
  4. Sul progetto o su ciascuna VM, imposta i metadati dell'istanza per l'agente OS Config. Questo passaggio è necessario per attivare l'agente OS Config nella VM o nel progetto.
  5. Verifica che tutte le VM abbiano un account di servizio collegato. Non è necessario concedere ruoli IAM a questo account di servizio. VM Manager utilizza questo account di servizio per firmare le richieste al servizio API.
  6. Se la tua VM è in esecuzione all'interno di una rete VPC privata e non dispone di accesso a Internet pubblico, abilita Accesso privato Google.
  7. Se utilizzi un proxy HTTP per le tue VM, configura un proxy HTTP.
  8. Facoltativo. Sul progetto o su ciascuna VM, disattiva le funzionalità di cui non hai bisogno.

Automatica

La prima volta che accedi a una qualsiasi delle pagine di VM Manager nella console, puoi scegliere di attivare automaticamente VM Manager.

Se segui i passaggi guidati, puoi utilizzare l'attivazione automatica per completare quanto segue:

  • Abilita l'API OS Config Service nel progetto Google Cloud
  • Abilita l'API Container Analysis nel progetto Google Cloud
  • Attiva gli agenti OS Config su tutte le VM nel progetto Google Cloud in cui è installato l'agente

Abilitazione automatica.

Sistemi operativi supportati

Per l'elenco completo dei sistemi operativi e delle versioni che supportano VM Manager, vedi Dettagli del sistema operativo.

Abilita l'API OS Config Service

Nel progetto Cloud, abilita l'API OS Config.

console

In Google Cloud Console, attiva l'API OS Config.

Abilita l'API OS Config

gcloud

Per abilitare l'API, esegui il comando seguente:

gcloud services enable osconfig.googleapis.com

Controlla se l'agente OS Config è installato

L'agente OS Config è installato per impostazione predefinita su CentOS, Container-Optimized OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e immagini Windows Server con data di build v20200114 o successiva. Per informazioni sulle versioni dei sistemi operativi con l'agente OS Config installato, consulta i dettagli del sistema operativo. Questi agenti vengono eseguiti in modo inattivo finché non attivi i metadati dell'agente e attivi l'API del servizio.

Linux

Per verificare se l'agente è installato sulla tua VM Linux, esegui il comando seguente:

sudo systemctl status google-osconfig-agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

Se l'agente non è installato, installa l'agente OS Config.

Windows

Per verificare se l'agente è installato sulla tua VM Windows, esegui il comando seguente:

PowerShell Get-Service google_osconfig_agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Se l'agente non è installato, installa l'agente OS Config.

Installa l'agente OS Config

Prima di seguire questi passaggi per installare l'agente, controlla se l'agente è già in esecuzione sulla tua VM.

Su ogni VM, installa l'agente OS Config. Puoi installare l'agente OS Config utilizzando una delle seguenti opzioni:

Installa l'agente manualmente

Utilizza questa opzione per installare l'agente OS Config su una VM esistente.

Per installare l'agente, completa i passaggi seguenti:

  1. Connettiti alla VM su cui vuoi installare l'agente OS Config.

  2. Installa l'agente OS Config.

    Windows Server

    Per installare l'agente OS Config su un server Windows, esegui il comando seguente:

    googet -noconfirm install google-osconfig-agent
    

    Ubuntu

    Per installare l'agente OS Config su una VM Ubuntu, esegui i comandi seguenti:

    1. Configurare il repository Ubuntu.

      • Per Ubuntu 20.04 e versioni successive, esegui i comandi seguenti:

        1. Aggiungi il repository Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
          /etc/apt/sources.list.d/google-compute-engine.list"
          
        2. Importa la chiave pubblica di Google Cloud.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
          sudo apt-key add -
          
      • Per Ubuntu 18.04 e versioni successive, esegui i comandi seguenti:

        1. Aggiungi il repository Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
          /etc/apt/sources.list.d/google-compute-engine.list"
          
        2. Importa la chiave pubblica di Google Cloud.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
          sudo apt-key add -
          
      • Per Ubuntu 16.04, esegui i comandi seguenti:

        1. Aggiungi il repository Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
          /etc/apt/sources.list.d/google-compute-engine.list"
          
        2. Importa la chiave pubblica di Google Cloud.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
          sudo apt-key add -
          
    2. Installa l'agente OS Config.

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

    Debian

    Per installare l'agente OS Config su una VM Debian, esegui i comandi seguenti:

    sudo apt update
    sudo apt -y install google-osconfig-agent
    

    Aggiunta del repository di Google Cloud e della chiave pubblica

    Se utilizzi un'istanza VM non creata da un'immagine fornita da Google o viene visualizzato il messaggio di errore "Impossibile individuare il pacchetto", completa i passaggi seguenti per aggiungere il repository Google Cloud e importare la chiave pubblica.

    Dopo aver aggiunto il repository e importato la chiave, puoi eseguire i comandi per installare l'agente OS Config.

    • Per Debian 9 (Stretch), esegui i comandi seguenti:

      1. Aggiungi il repository di Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        
      2. Importa la chiave pubblica di Google Cloud.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        
    • Per Debian 10 (Buster), esegui i comandi seguenti:

      1. Aggiungi il repository di Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        
      2. Importa la chiave pubblica di Google Cloud.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

    RHEL/CentOS

    Per installare l'agente OS Config su una VM RHEL 7/8 o CentOS 7/8, esegui il comando seguente:

    sudo yum -y install google-osconfig-agent
    

    SLES/openSUSE

    Per installare l'agente OS Config su una VM SLES o openSUSE, esegui i comandi seguenti:

    1. Configurare il repository SLES.

      • Per SLES 12, esegui il comando seguente:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
      • Per SLES 15 e OpenSUSE 15, esegui il comando seguente:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        
    2. Importa le chiavi GPG per Google Cloud.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      
    3. Installa l'agente OS Config.

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
      

Installa l'agente utilizzando uno script di avvio

Puoi anche utilizzare i comandi di installazione manuale per creare uno script di avvio che installa l'agente OS Config durante la creazione della VM.

  1. Copia i comandi manuali per il tuo sistema operativo.
  2. Fornisci lo script di avvio per il tuo metodo di creazione delle VM.

    Ad esempio, se utilizzi il comando gcloud compute instances create per creare una nuova VM Debian 9, il comando sarà simile al seguente:

    gcloud compute instances create VM_NAME \
       --image-family=debian-9 --image-project=debian-cloud \
       --metadata startup-script='#! /bin/bash
       sudo apt update
       sudo apt -y install google-osconfig-agent'

    Sostituisci VM_NAME con il nome della tua VM.

  3. Verifica che lo script di avvio sia stato completato. Per verificare se lo script di avvio è stato completato, esamina i log o controlla la console di serie.

Impostare i valori dei metadati

Puoi impostare i metadati dell'istanza su ogni VM o quelli di progetto che si applicano a tutte le VM nel progetto.

Sul progetto o nella VM Cloud, imposta il valore dei metadati enable-osconfig su TRUE. L'impostazione del valore dei metadati enable-osconfig su TRUE consente quanto segue:

  • OS Patch Management
  • OS Configuration Management
  • OS Inventory Management.
    • Per la versione precedente della gestione dell'inventario del sistema operativo, devi anche impostare il valore dei metadati enable-guest-attributes su TRUE. Questo non è necessario per la versione successiva. Per informazioni sulle due versioni di gestione dell'inventario del sistema operativo, vedi Versioni di gestione dell'inventario del sistema operativo.

console

Puoi applicare i valori dei metadati ai tuoi progetti Cloud o alle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che vengano applicati a tutte le VM nel tuo progetto.

    1. In Google Cloud Console, vai alla pagina Metadati.

      Vai a Metadati

    2. Fai clic su Modifica.

    3. Aggiungi la seguente voce di metadati:

      Chiave: enable-osconfig
      Valore: TRUE

      Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:

      • Chiave: enable-osconfig
        Valore: TRUE
      • Chiave: enable-guest-attributes
        Valore: TRUE
    4. Fai clic su Salva per applicare le modifiche.

  • Opzione 2: imposta enable-osconfig nei metadati della VM quando crei un'istanza.

    1. In Google Cloud Console, vai alla pagina Crea un'istanza.

      Vai a Creare un'istanza

    2. Specifica i dettagli della VM.

    3. Espandi la sezione Networking, dischi, sicurezza, gestione, single-tenancy e segui questi passaggi:

      1. Espandi la sezione Gestione.
      2. Nella sezione Metadati, fai clic su Aggiungi elemento e aggiungi le seguenti voci di metadati:

        Chiave: enable-osconfig
        Valore: TRUE.

        Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare sia enable-osconfig che enable-guest-attributes:

        • Chiave: enable-osconfig
          Valore: TRUE
        • Chiave: enable-guest-attributes
          Valore: TRUE
    4. Per creare la VM, fai clic su Crea.

  • Opzione 3: imposta enable-osconfig nei metadati di una VM esistente.

    1. In Google Cloud Console, vai alla pagina Istanze VM.

      Vai alle istanze VM

    2. Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.

    3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni.

    4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:

      Chiave: enable-osconfig
      Valore: TRUE.

      Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:

      • Chiave: enable-osconfig
        Valore: TRUE
      • Chiave: enable-guest-attributes
        Valore: TRUE
    5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il project-info add-metadata o il comando instances add-metadata con il flag --metadata=enable-osconfig=TRUE.

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che si applichi a tutte le istanze nel progetto:

    gcloud compute project-info add-metadata \
      --project PROJECT_ID \
      --metadata=enable-osconfig=TRUE
    

    Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:

    gcloud compute project-info add-metadata \
      --project PROJECT_ID \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    

    Sostituisci PROJECT_ID con l'ID progetto.

  • Opzione 2: imposta enable-osconfig nei metadati di un'istanza esistente.

    gcloud compute instances add-metadata VM_NAME \
      --metadata=enable-osconfig=TRUE
    

    Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:

    gcloud compute instances add-metadata VM_NAME \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    

    Sostituisci VM_NAME con il nome della tua VM.

  • Opzione 3: imposta enable-osconfig nei metadati dell'istanza quando crei un'istanza.

    gcloud compute instances create VM_NAME \
      --metadata=enable-osconfig=TRUE
    

    Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:

    gcloud compute instances create VM_NAME \
      --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
    

    Sostituisci VM_NAME con il nome della tua VM.

Server

Puoi impostare il valore dei metadati a livello di progetto Cloud o di istanza.

Nell'ambito della proprietà dei metadati è obbligatoria la seguente coppia chiave-valore:

  • Chiave: enable-osconfig
    Valore: TRUE

Per la gestione dell'inventario del sistema operativo, aggiungi anche la seguente coppia chiave-valore:

  • Chiave: enable-guest-attributes
    Valore: TRUE

Configurare un proxy HTTP

Se utilizzi un proxy HTTP per le tue VM, esegui i comandi seguenti per impostare le variabili di ambiente http_proxy e https_proxy. Devi anche escludere il server di metadati (169.254.169.254) configurando la variabile di ambiente no_proxy in modo che l'agente OS Config possa accedere al server di metadati locale.

Linux

Aggiungi le seguenti variabili di ambiente in una posizione a livello di sistema, ad esempio /etc/environment:

  http_proxy="http://PROXY_IP:PROXY_PORT"
  https_proxy="http://PROXY_IP:PROXY_PORT"
  no_proxy=169.254.169.254,metadata,metadata.google.internal  # Skip proxy for the local Metadata Server.
 

Sostituisci PROXY_IP e PROXY_PORT con, rispettivamente, l'indirizzo IP e il numero di porta del tuo server proxy.

Windows

Esegui questi comandi dal prompt dei comandi dell'amministratore.

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

Sostituisci PROXY_IP e PROXY_PORT con, rispettivamente, l'indirizzo IP e il numero di porta del tuo server proxy.

Google consiglia di escludere *-osconfig.googleapis.com aggiungendo la variabile di ambiente no_proxy per evitare problemi di connessione da parte dell'agente OS Config.

Disattiva le funzionalità che non ti servono

Per funzionalità che potrebbero non servirti, puoi disattivarle impostando i seguenti valori di metadati: osconfig-disabled-features=FEATURE1,FEATURE2.

Sostituisci FEATURE1,FEATURE2 con uno dei seguenti valori:

  • Gestione dell'inventario del sistema operativo: osinventory
  • OS Patch Management: tasks
  • OS Configuration Management: guestpolicies

Puoi impostare questi valori utilizzando la console Google Cloud, Google Cloud CLI o l'API Compute Engine.

console

Puoi disabilitare i valori dei metadati nei tuoi progetti Cloud o nelle tue VM utilizzando una delle seguenti opzioni:

  • Opzione 1: disattiva la funzionalità nei metadati a livello di progetto in modo che venga applicata a tutte le istanze del progetto.

    1. In Google Cloud Console, vai alla pagina Metadati.

      Vai a Metadati

    2. Fai clic su Modifica.

    3. Aggiungi la seguente voce di metadati:

      Chiave: osconfig-disabled-features
      Valore: FEATURE1,FEATURE2

      Ad esempio:
      Chiave: osconfig-disabled-features
      Valore: osinventory,guestpolicies

    4. Fai clic su Salva per applicare le modifiche.

  • Opzione 2: disattiva la funzionalità nei metadati di una VM esistente.

    1. In Google Cloud Console, vai alla pagina Istanze VM.

      Vai alle istanze VM

    2. Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.

    3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni della VM.

    4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:

      Chiave: osconfig-disabled-features
      Valore: FEATURE1,FEATURE2

      Ad esempio:
      Chiave: osconfig-disabled-features
      Valore: osinventory

    5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il project-info add-metadata o il instances add-metadata gcloud comando con il flag --metadata=osconfig-disabled-features.

Se disattivi più funzionalità, il formato del flag deve essere --metadata=osconfig-disabled-features=FEATURE1,FEATURE2. Vedi l'esempio 2.

Esempi

Esempio 1 Per disabilitare la gestione delle patch del sistema operativo a livello di progetto Cloud utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

Esempio 2 Per disabilitare la gestione della configurazione del sistema operativo e la gestione dell'inventario del sistema operativo a livello di progetto utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Sostituisci PROJECT_ID con l'ID progetto.

Server

Puoi impostare il valore dei metadati a livello di progetto Cloud o di istanza.

Nell'ambito della proprietà dei metadati è obbligatoria la seguente coppia chiave-valore:

  • Chiave: osconfig-disabled-features
  • Valore: può essere uno o più dei seguenti flag:
    • osinventory
    • tasks
    • guestpolicies

Requisiti per un agente OS Config attivo

Affinché l'agente OS Config possa essere considerato attivo e fatturabile, deve soddisfare tutti i requisiti seguenti:

  • Il gestore VM deve essere configurato.
  • La VM deve essere in stato RUNNING e l'agente OS Config deve comunicare con il servizio OS Config.

    Se una VM viene arrestata, sospesa o disconnessa dalla rete, l'agente su quella VM non viene conteggiato come agente attivo.

Verificare la configurazione

Dopo aver completato la procedura di configurazione, puoi verificare la configurazione utilizzando l'elenco di controllo di verifica.

Disabilita l'agente OS Config

La disabilitazione dell'agente OS Config non influisce sul comportamento della VM. Puoi disabilitare l'agente nello stesso modo in cui interrompi gli altri servizi del sistema operativo.

Linux

Per disattivare l'agente utilizzando systemctl, esegui questi comandi:

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

Windows

Per disabilitare l'agente utilizzando powershell, esegui il comando seguente:

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

Passaggi successivi