Configura VM Manager

Su Compute Engine puoi gestire i sistemi operativi in esecuzione sulle tue macchine virtuali (VM) utilizzando VM Manager.

Per rivedere i passaggi necessari per configurare le VM per l'utilizzo di VM Manager, consulta la panoramica della configurazione.

Dopo aver configurato VM Manager, puoi visualizzare gli audit log per le operazioni API eseguite con l'API OS Config, vedi Visualizzazione degli audit log di VM Manager.

Prima di iniziare

Se vuoi utilizzare gli esempi a riga di comando in questa guida:
1. Installa o aggiorna la versione più recente di Google Cloud CLI.
2. Imposta una regione e una zona predefinite.
Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso all'API.
Esamina le quote di configurazione del sistema operativo per il tuo progetto.

Panoramica della configurazione

Per abilitare VM Manager, hai due opzioni:

Abilitazione automatica: si applica all'intero progetto Google Cloud. Puoi completare l'attivazione automatica dalla console Google Cloud. Potresti comunque dover completare manualmente alcuni passaggi.
Abilitazione manuale: può essere eseguita per VM o per l'intero progetto Google Cloud.

Manuale

Per configurare manualmente VM Manager, completa i seguenti passaggi:

Nel progetto Google Cloud, abilita l'API OS Config.
Su ogni VM, controlla se è installato l'agente OS Config. Se l'agente non è ancora installato, installa l'agente OS Config.
Sul tuo progetto o su ogni VM, imposta i metadati dell'istanza per l'agente OS Config. Questo passaggio è necessario per rendere attivo l'agente OS Config nella tua VM o nel tuo progetto.
Verifica che tutte le VM abbiano un account di servizio collegato. Non è necessario concedere ruoli IAM a questo account di servizio. VM Manager utilizza questo account di servizio per firmare le richieste al servizio API.
Se la VM è in esecuzione all'interno di una rete VPC privata e non ha accesso pubblico a Internet, abilita Accesso privato Google.
Se utilizzi un proxy HTTP per le tue VM, configura un proxy HTTP.
Facoltativo. Sul progetto o su ogni VM, disattiva le funzionalità che non ti servono.

Automatico

La prima volta che accedi a una qualsiasi delle pagine di VM Manager nella console Google Cloud, puoi scegliere di abilitarla automaticamente.

Se segui la procedura guidata, puoi utilizzare l'attivazione automatica per completare quanto segue:

Abilitare l'API OS Config Service nel progetto Google Cloud
Attiva gli agenti di configurazione del sistema operativo su tutte le VM nel progetto Google Cloud in cui è installato l'agente

Abilitazione automatica.

Sistemi operativi supportati

Per l'elenco completo dei sistemi operativi e delle versioni che supportano VM Manager, vedi Dettagli del sistema operativo.

Abilita l'API OS Config Service

Nel progetto cloud, abilita l'API OS Config.

Console

Nella console Google Cloud, abilita l'API OS Config.

Abilita l'API OS Config

gcloud

Per abilitare l'API, esegui questo comando:

gcloud services enable osconfig.googleapis.com

Verifica se è installato l'agente OS Config

L'agente OS Config è installato per impostazione predefinita su immagini CentOS, Container-Optimized OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e Windows Server con data di build v20200114 o successiva. Per informazioni sulle versioni dei sistemi operativi con l'agente OS Config installato, consulta i dettagli del sistema operativo. Questi agenti rimangono inattivi finché non attivi i metadati dell'agente e attivi l'API del servizio.

Linux

Per verificare se nella tua VM Linux è installato l'agente, esegui questo comando:

sudo systemctl status google-osconfig-agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

Se l'agente non è installato, installa l'agente OS Config.

Windows

Per verificare se nella tua VM Windows è installato l'agente, esegui questo comando:

PowerShell Get-Service google_osconfig_agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Se l'agente non è installato, installa l'agente OS Config.

Installa l'agente OS Config

Prima di seguire questi passaggi per installare l'agente, verifica che sia già in esecuzione sulla VM.

Su ogni VM, installa l'agente OS Config. Puoi installare l'agente OS Config utilizzando una delle seguenti opzioni:

Installa l'agente manualmente utilizzando il terminale.
Utilizza uno script di avvio sulle tue VM.
Automatizza l'installazione di OS Config su più VM utilizzando un criterio dell'agente della suite operativa di Google Cloud.

Installa l'agente manualmente

Utilizza questa opzione per installare l'agente OS Config su una VM esistente.

Per installare l'agente, completa i seguenti passaggi:

Connettiti alla VM su cui vuoi installare l'agente OS Config.

Installa l'agente OS Config.

Windows Server

Per installare l'agente OS Config su un server Windows, esegui il comando seguente:

googet -noconfirm install google-osconfig-agent

Ubuntu

Per installare l'agente OS Config su una VM Ubuntu, esegui questi comandi:

Configurare il repository di Ubuntu.

Per Ubuntu 20.04 e versioni successive, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Ubuntu 18.04 e versioni successive, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Ubuntu 16.04, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Installa l'agente OS Config.

sudo apt update
sudo apt -y install google-osconfig-agent

Debian

Per installare l'agente OS Config su una VM Debian, esegui questi comandi:

sudo apt update
sudo apt -y install google-osconfig-agent

Aggiunta del repository Google Cloud e della chiave pubblica

Se utilizzi un'istanza VM non creata da un'immagine fornita da Google o ricevi il messaggio di errore "Impossibile individuare il pacchetto", completa i seguenti passaggi per aggiungere il repository Google Cloud e importare la chiave pubblica.

Dopo aver aggiunto il repository e importato la chiave, puoi eseguire i comandi per installare l'agente OS Config.

Per Debian 9 (Stretch), esegui i comandi seguenti:

Aggiungi il repository di Debian.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Debian 10 (Buster), esegui i comandi seguenti:

Aggiungi il repository di Debian.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

RHEL/CentOS/Rocky Linux

Per installare l'agente OS Config su una VM RHEL 7/8, CentOS 7/8 o Rocky Linux 8/9, esegui il comando seguente:

sudo yum -y install google-osconfig-agent

SLES/openSUSE

Per installare l'agente OS Config su una VM SLES o openSUSE, esegui i comandi seguenti:

Configurare il repository SLES.

Per SLES 12, esegui il comando seguente:

sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

Per SLES 15 e OpenSUSE 15, esegui il comando seguente:

sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

Importa le chiavi GPG per Google Cloud.

sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
--import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg

Installa l'agente OS Config.

sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent

Installa l'agente utilizzando uno script di avvio

Puoi anche utilizzare i comandi di installazione manuale per creare uno script di avvio che installi l'agente OS Config durante la creazione delle VM.

Copia i comandi manuali per il tuo sistema operativo.
Fornisci lo script di avvio al tuo metodo di creazione delle VM.

Ad esempio, se utilizzi il comando gcloud compute instances create per creare una nuova VM Debian 9, il comando sarà simile al seguente:
```
gcloud compute instances create VM_NAME \
   --image-family=debian-9 --image-project=debian-cloud \
   --metadata startup-script='#! /bin/bash
   apt update
   apt -y install google-osconfig-agent'
```
Sostituisci VM_NAME con il nome della tua VM.
Verifica che lo script di avvio sia completo. Per verificare se lo script di avvio è completo, esamina i log o controlla la console di serie.

Impostare i valori dei metadati

Puoi impostare i metadati dell'istanza su ogni VM o i metadati del progetto che si applicano a tutte le VM nel progetto.

Nel progetto o nella VM Cloud, imposta il valore dei metadati enable-osconfig su TRUE. L'impostazione del valore dei metadati enable-osconfig su TRUE consente quanto segue:

OS Patch Management
OS Configuration Management
OS Inventory Management.
- Per la versione precedente di Gestione dell'inventario del sistema operativo, devi anche impostare il valore dei metadati enable-guest-attributes su TRUE. Se entrambi i valori dei metadati non sono impostati, la dashboard mostra no data per la VM. Questo passaggio non è necessario per la versione successiva. Per informazioni sulle due versioni di gestione dell'inventario del sistema operativo, consulta le versioni di gestione dell'inventario del sistema operativo.

Console

Puoi applicare i valori dei metadati ai progetti o alle VM Cloud utilizzando una delle seguenti opzioni:

Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che vengano applicati a tutte le VM nel tuo progetto.
1. Nella console Google Cloud, vai alla pagina Metadati.
  
  Vai a Metadati
2. Fai clic su Modifica.
3. Aggiungi la seguente voce di metadati:
  
  Chiave: enable-osconfig
  Valore: TRUE
  
  Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
  - Chiave: enable-osconfig
    Valore: TRUE
  - Chiave: enable-guest-attributes
    Valore: TRUE
4. Fai clic su Salva per applicare le modifiche.
Opzione 2: imposta enable-osconfig nei metadati delle VM quando crei un'istanza.
1. Nella console Google Cloud, vai alla pagina Crea un'istanza.
  
  Vai a Crea un'istanza
2. Specifica i dettagli della VM.
3. Espandi la sezione Networking, dischi, sicurezza, gestione, single tenancy ed esegui le operazioni seguenti:
  1. Espandi la sezione Gestione.
  2. Nella sezione Metadati, fai clic su Aggiungi elemento e aggiungi le seguenti voci di metadati:
    
    Chiave: enable-osconfig
    Valore: TRUE.
    
    Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
    - Chiave: enable-osconfig
      Valore: TRUE
    - Chiave: enable-guest-attributes
      Valore: TRUE
4. Per creare la VM, fai clic su Crea.
Opzione 3: imposta enable-osconfig nei metadati di una VM esistente.
1. Nella console Google Cloud, vai alla pagina Istanze VM.
  
  Vai a Istanze VM
2. Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.
3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni.
4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:
  
  Chiave: enable-osconfig
  Valore: TRUE.
  
  Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
  - Chiave: enable-osconfig
    Valore: TRUE
  - Chiave: enable-guest-attributes
    Valore: TRUE
5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il comando project-info add-metadata o il comando instances add-metadata con il flag --metadata=enable-osconfig=TRUE.

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che vengano applicati a tutte le istanze del progetto:
```
gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-osconfig=TRUE
```
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
```
gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci PROJECT_ID con l'ID progetto.
Opzione 2: imposta enable-osconfig nei metadati di un'istanza esistente.
```
gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-osconfig=TRUE
```
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
```
gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci VM_NAME con il nome della tua VM.
Opzione 3: imposta enable-osconfig nei metadati dell'istanza quando crei un'istanza.
```
gcloud compute instances create VM_NAME \
  --metadata=enable-osconfig=TRUE
```
Per la versione precedente di Gestione dell'inventario del sistema operativo, imposta entrambi i valori enable-osconfig e enable-guest-attributes:
```
gcloud compute instances create VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci VM_NAME con il nome della tua VM.

API

Puoi impostare il valore dei metadati a livello di progetto o istanza di Cloud.

Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni dell'API per impostare i metadati personalizzati a livello di progetto.
Per istruzioni sull'impostazione dei metadati dell'istanza, segui le istruzioni dell'API per impostare i metadati dell'istanza.

La seguente coppia chiave-valore è obbligatoria come parte della proprietà dei metadati:

Chiave: enable-osconfig
Valore: TRUE

Per la versione precedente di Gestione dell'inventario del sistema operativo, aggiungi anche la seguente coppia chiave-valore:

Chiave: enable-guest-attributes
Valore: TRUE

Configurare un proxy HTTP

Se utilizzi un proxy HTTP per le tue VM, esegui questi comandi per impostare le variabili di ambiente http_proxy e https_proxy. Devi anche escludere il server di metadati (169.254.169.254) configurando la variabile di ambiente no_proxy in modo che l'agente OS Config possa accedere al server di metadati locale.

Linux

Aggiungi le seguenti variabili di ambiente in un file di configurazione a livello di sistema. Ad esempio, in CentOS 7 aggiungi le impostazioni del proxy nel file /etc/systemd/system.conf:

  http_proxy="http://PROXY_IP:PROXY_PORT"
  https_proxy="http://PROXY_IP:PROXY_PORT"
  no_proxy=169.254.169.254,metadata,metadata.google.internal  # Skip proxy for the local Metadata Server.

Sostituisci PROXY_IP e PROXY_PORT con l'indirizzo IP e il numero di porta del server proxy, rispettivamente.

Windows

Esegui questi comandi dal prompt dei comandi degli amministratori.

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

Sostituisci PROXY_IP e PROXY_PORT con l'indirizzo IP e il numero di porta del server proxy, rispettivamente.

Google consiglia di escludere *.googleapis.com aggiungendo la variabile di ambiente no_proxy per evitare problemi di connessione da parte dell'agente OS Config. Se vuoi connettere solo VM specifiche all'agente OS Config, prefissa la zona in cui si trovano le VM e utilizza il formato [zone-name]-osconfig.googleapis.com. Ad esempio: us-central1-f-osconfig.googleapis.com.

Disattivare le funzionalità che non ti servono

Puoi disattivare le funzionalità potenzialmente non necessarie impostando i seguenti valori di metadati: osconfig-disabled-features=FEATURE1,FEATURE2.

Sostituisci FEATURE1,FEATURE2 con uno dei seguenti valori:

OS Inventory Management: osinventory
OS Patch Management: tasks
OS Configuration Management: guestpolicies

Puoi impostare questi valori utilizzando la console Google Cloud, Google Cloud CLI o l'API Compute Engine.

Console

Puoi disabilitare i valori dei metadati nei progetti o nelle VM Cloud utilizzando una delle seguenti opzioni:

Opzione 1: disattiva la funzionalità nei metadati a livello di progetto in modo che venga applicata a tutte le istanze del progetto.
1. Nella console Google Cloud, vai alla pagina Metadati.
  
  Vai a Metadati
2. Fai clic su Modifica.
3. Aggiungi la seguente voce di metadati:
  
  Chiave: osconfig-disabled-features
  Valore: FEATURE1,FEATURE2
  
  Ad esempio:
  Chiave: osconfig-disabled-features
  Valore: osinventory,guestpolicies
4. Fai clic su Salva per applicare le modifiche.
Opzione 2: disattiva la funzionalità nei metadati di una VM esistente.
1. Nella console Google Cloud, vai alla pagina Istanze VM.
  
  Vai a Istanze VM
2. Fai clic sul nome della VM su cui vuoi impostare il valore dei metadati.
3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni della VM.
4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:
  
  Chiave: osconfig-disabled-features
  Valore: FEATURE1,FEATURE2
  
  Ad esempio:
  Chiave: osconfig-disabled-features
  Valore: osinventory
5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il comando project-info add-metadata o il comando instances add-metadata gcloud con il flag --metadata=osconfig-disabled-features.

Se disattivi più funzionalità, il flag deve avere il formato --metadata=osconfig-disabled-features=FEATURE1,FEATURE2. Vedi l'esempio 2.

Esempi

Esempio 1 Per disabilitare la gestione delle patch del sistema operativo a livello di progetto cloud utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

Esempio 2 Per disabilitare la gestione della configurazione del sistema operativo e la gestione dell'inventario del sistema operativo a livello di progetto utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Sostituisci PROJECT_ID con l'ID progetto.

API

Puoi impostare il valore dei metadati a livello di progetto o istanza di Cloud.

Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni dell'API per impostare i metadati personalizzati a livello di progetto.
Per istruzioni sull'impostazione dei metadati dell'istanza, segui le istruzioni dell'API per impostare i metadati dell'istanza.

La seguente coppia chiave-valore è obbligatoria come parte della proprietà dei metadati:

Chiave: osconfig-disabled-features
Valore: può essere uno qualsiasi o una combinazione dei seguenti flag:
- osinventory
- tasks
- guestpolicies

Requisiti per un agente OS Config attivo

Affinché sia considerato attivo e fatturabile, l'agente OS Config deve soddisfare tutti i seguenti requisiti:

VM Manager deve essere configurato.
La VM deve essere in stato RUNNING e l'agente OS Config deve comunicare con il servizio OS Config.

Se una VM viene arrestata, sospesa o disconnessa dalla rete, l'agente su quella VM non viene conteggiato come agente attivo.

Verificare la configurazione

Dopo aver completato la procedura di configurazione, puoi verificare la configurazione.

Disabilita l'agente OS Config

La disabilitazione dell'agente OS Config non influisce sul comportamento della VM. Puoi disabilitare l'agente nello stesso modo in cui interrompi gli altri servizi del sistema operativo.

Linux

Per disattivare l'agente utilizzando systemctl, esegui questi comandi:

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

Windows

Per disattivare l'agente utilizzando powershell, esegui questo comando:

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

Quali sono i passaggi successivi?

Crea un'assegnazione dei criteri del sistema operativo.
Visualizza i dettagli del sistema operativo.
Crea job di applicazione patch.
Scopri di più su VM Manager.