Questa pagina è stata tradotta dall'API Cloud Translation.

Configura VM Manager

Su Compute Engine puoi gestire i sistemi operativi in esecuzione sulle tue macchine virtuali (VM) utilizzando VM Manager.

Per esaminare i passaggi necessari per configurare le VM in modo che utilizzino VM Manager, consulta la panoramica della configurazione.

Dopo aver configurato VM Manager, puoi visualizzare gli audit log per le operazioni API eseguite con l'API OS Config, vedi Visualizzazione degli audit log di VM Manager.

Prima di iniziare

Se vuoi utilizzare gli esempi a riga di comando in questa guida:
1. Installa o aggiorna l'ultima versione di Google Cloud CLI.
2. Imposta una regione e una zona predefinite.
Se vuoi utilizzare gli esempi di API in questa guida, configura l'accesso API.
Controlla le quote di OS Config per il tuo progetto.

Panoramica della configurazione

Per abilitare VM Manager, hai due opzioni:

Abilitazione automatica: si applica all'intero progetto Google Cloud. Completa l'abilitazione automatica dalla console. Potresti comunque dover completare manualmente alcuni passaggi.
Abilitazione manuale: può essere eseguita per VM o per l'intero progetto Google Cloud.

Manuale

Per configurare manualmente VM Manager, completa i passaggi seguenti:

Nel progetto Google Cloud, attiva l'API OS Config.
Nel progetto Google Cloud, attiva l'API Container Analysis.
Su ogni VM, controlla se è installato l'agente OS Config. Se l'agente non è ancora installato, installa l'agente OS Config.
Sul progetto o su ciascuna VM, imposta i metadati dell'istanza per l'agente OS Config. Questo passaggio è necessario per attivare l'agente OS Config nella VM o nel progetto.
Verifica che tutte le VM abbiano un account di servizio collegato. Non è necessario concedere ruoli IAM a questo account di servizio. VM Manager utilizza questo account di servizio per firmare le richieste al servizio API.
Se la tua VM è in esecuzione all'interno di una rete VPC privata e non dispone di accesso a Internet pubblico, abilita Accesso privato Google.
Se utilizzi un proxy HTTP per le tue VM, configura un proxy HTTP.
Facoltativo. Sul progetto o su ciascuna VM, disattiva le funzionalità di cui non hai bisogno.

Automatica

La prima volta che accedi a una qualsiasi delle pagine di VM Manager nella console, puoi scegliere di attivare automaticamente VM Manager.

Se segui i passaggi guidati, puoi utilizzare l'attivazione automatica per completare quanto segue:

Abilita l'API OS Config Service nel progetto Google Cloud
Abilita l'API Container Analysis nel progetto Google Cloud
Attiva gli agenti OS Config su tutte le VM nel progetto Google Cloud in cui è installato l'agente

Abilitazione automatica.

Sistemi operativi supportati

Per l'elenco completo dei sistemi operativi e delle versioni che supportano VM Manager, vedi Dettagli del sistema operativo.

Abilita l'API OS Config Service

Nel progetto Cloud, abilita l'API OS Config.

console

In Google Cloud Console, attiva l'API OS Config.

Abilita l'API OS Config

gcloud

Per abilitare l'API, esegui il comando seguente:

gcloud services enable osconfig.googleapis.com

Controlla se l'agente OS Config è installato

L'agente OS Config è installato per impostazione predefinita su CentOS, Container-Optimized OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e immagini Windows Server con data di build v20200114 o successiva. Per informazioni sulle versioni dei sistemi operativi con l'agente OS Config installato, consulta i dettagli del sistema operativo. Questi agenti vengono eseguiti in modo inattivo finché non attivi i metadati dell'agente e attivi l'API del servizio.

Linux

Per verificare se l'agente è installato sulla tua VM Linux, esegui il comando seguente:

sudo systemctl status google-osconfig-agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

Se l'agente non è installato, installa l'agente OS Config.

Windows

Per verificare se l'agente è installato sulla tua VM Windows, esegui il comando seguente:

PowerShell Get-Service google_osconfig_agent

Se l'agente è installato e in esecuzione, l'output è simile al seguente:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Se l'agente non è installato, installa l'agente OS Config.

Installa l'agente OS Config

Prima di seguire questi passaggi per installare l'agente, controlla se l'agente è già in esecuzione sulla tua VM.

Su ogni VM, installa l'agente OS Config. Puoi installare l'agente OS Config utilizzando una delle seguenti opzioni:

Installa l'agente manualmente utilizzando il terminale.
Utilizza uno script di avvio sulle tue VM.
Automatizza l'installazione di OS Config su più VM utilizzando un criterio dell'agente della suite operativa di Google Cloud.

Installa l'agente manualmente

Utilizza questa opzione per installare l'agente OS Config su una VM esistente.

Per installare l'agente, completa i passaggi seguenti:

Connettiti alla VM su cui vuoi installare l'agente OS Config.

Installa l'agente OS Config.

Windows Server

Per installare l'agente OS Config su un server Windows, esegui il comando seguente:

googet -noconfirm install google-osconfig-agent

Ubuntu

Per installare l'agente OS Config su una VM Ubuntu, esegui i comandi seguenti:

Configurare il repository Ubuntu.

Per Ubuntu 20.04 e versioni successive, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Ubuntu 18.04 e versioni successive, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Ubuntu 16.04, esegui i comandi seguenti:

Aggiungi il repository Ubuntu.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
/etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Installa l'agente OS Config.

sudo apt update
sudo apt -y install google-osconfig-agent

Debian

Per installare l'agente OS Config su una VM Debian, esegui i comandi seguenti:

sudo apt update
sudo apt -y install google-osconfig-agent

Aggiunta del repository di Google Cloud e della chiave pubblica

Se utilizzi un'istanza VM non creata da un'immagine fornita da Google o viene visualizzato il messaggio di errore "Impossibile individuare il pacchetto", completa i passaggi seguenti per aggiungere il repository Google Cloud e importare la chiave pubblica.

Dopo aver aggiunto il repository e importato la chiave, puoi eseguire i comandi per installare l'agente OS Config.

Per Debian 9 (Stretch), esegui i comandi seguenti:

Aggiungi il repository di Debian.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

Per Debian 10 (Buster), esegui i comandi seguenti:

Aggiungi il repository di Debian.

sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"

Importa la chiave pubblica di Google Cloud.

curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

RHEL/CentOS

Per installare l'agente OS Config su una VM RHEL 7/8 o CentOS 7/8, esegui il comando seguente:

sudo yum -y install google-osconfig-agent

SLES/openSUSE

Per installare l'agente OS Config su una VM SLES o openSUSE, esegui i comandi seguenti:

Configurare il repository SLES.

Per SLES 12, esegui il comando seguente:

sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

Per SLES 15 e OpenSUSE 15, esegui il comando seguente:

sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

Importa le chiavi GPG per Google Cloud.

sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
--import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg

Installa l'agente OS Config.

sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent

Installa l'agente utilizzando uno script di avvio

Puoi anche utilizzare i comandi di installazione manuale per creare uno script di avvio che installa l'agente OS Config durante la creazione della VM.

Copia i comandi manuali per il tuo sistema operativo.
Fornisci lo script di avvio per il tuo metodo di creazione delle VM.

Ad esempio, se utilizzi il comando gcloud compute instances create per creare una nuova VM Debian 9, il comando sarà simile al seguente:
```
gcloud compute instances create VM_NAME \
   --image-family=debian-9 --image-project=debian-cloud \
   --metadata startup-script='#! /bin/bash
   sudo apt update
   sudo apt -y install google-osconfig-agent'
```
Sostituisci VM_NAME con il nome della tua VM.
Verifica che lo script di avvio sia stato completato. Per verificare se lo script di avvio è stato completato, esamina i log o controlla la console di serie.

Impostare i valori dei metadati

Puoi impostare i metadati dell'istanza su ogni VM o quelli di progetto che si applicano a tutte le VM nel progetto.

Sul progetto o nella VM Cloud, imposta il valore dei metadati enable-osconfig su TRUE. L'impostazione del valore dei metadati enable-osconfig su TRUE consente quanto segue:

OS Patch Management
OS Configuration Management
OS Inventory Management.
- Per la versione precedente della gestione dell'inventario del sistema operativo, devi anche impostare il valore dei metadati enable-guest-attributes su TRUE. Questo non è necessario per la versione successiva. Per informazioni sulle due versioni di gestione dell'inventario del sistema operativo, vedi Versioni di gestione dell'inventario del sistema operativo.

console

Puoi applicare i valori dei metadati ai tuoi progetti Cloud o alle tue VM utilizzando una delle seguenti opzioni:

Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che vengano applicati a tutte le VM nel tuo progetto.
1. In Google Cloud Console, vai alla pagina Metadati.
  
  Vai a Metadati
2. Fai clic su Modifica.
3. Aggiungi la seguente voce di metadati:
  
  Chiave: enable-osconfig
  Valore: TRUE
  
  Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:
  - Chiave: enable-osconfig
    Valore: TRUE
  - Chiave: enable-guest-attributes
    Valore: TRUE
4. Fai clic su Salva per applicare le modifiche.
Opzione 2: imposta enable-osconfig nei metadati della VM quando crei un'istanza.
1. In Google Cloud Console, vai alla pagina Crea un'istanza.
  
  Vai a Creare un'istanza
2. Specifica i dettagli della VM.
3. Espandi la sezione Networking, dischi, sicurezza, gestione, single-tenancy e segui questi passaggi:
  1. Espandi la sezione Gestione.
  2. Nella sezione Metadati, fai clic su Aggiungi elemento e aggiungi le seguenti voci di metadati:
    
    Chiave: enable-osconfig
    Valore: TRUE.
    
    Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare sia enable-osconfig che enable-guest-attributes:
    - Chiave: enable-osconfig
      Valore: TRUE
    - Chiave: enable-guest-attributes
      Valore: TRUE
4. Per creare la VM, fai clic su Crea.
Opzione 3: imposta enable-osconfig nei metadati di una VM esistente.
1. In Google Cloud Console, vai alla pagina Istanze VM.
  
  Vai alle istanze VM
2. Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.
3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni.
4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:
  
  Chiave: enable-osconfig
  Valore: TRUE.
  
  Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:
  - Chiave: enable-osconfig
    Valore: TRUE
  - Chiave: enable-guest-attributes
    Valore: TRUE
5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il project-info add-metadata o il comando instances add-metadata con il flag --metadata=enable-osconfig=TRUE.

Puoi applicare i valori dei metadati ai tuoi progetti o alle tue VM utilizzando una delle seguenti opzioni:

Opzione 1: imposta enable-osconfig nei metadati a livello di progetto, in modo che si applichi a tutte le istanze nel progetto:
```
gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-osconfig=TRUE
```
Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:
```
gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci PROJECT_ID con l'ID progetto.
Opzione 2: imposta enable-osconfig nei metadati di un'istanza esistente.
```
gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-osconfig=TRUE
```
Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:
```
gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci VM_NAME con il nome della tua VM.
Opzione 3: imposta enable-osconfig nei metadati dell'istanza quando crei un'istanza.
```
gcloud compute instances create VM_NAME \
  --metadata=enable-osconfig=TRUE
```
Affinché la gestione dell'inventario del sistema operativo (versione precedente) funzioni, devi impostare enable-osconfig e enable-guest-attributes:
```
gcloud compute instances create VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE
```
Sostituisci VM_NAME con il nome della tua VM.

Server

Puoi impostare il valore dei metadati a livello di progetto Cloud o di istanza.

Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni sull'API per l'impostazione dei metadati personalizzati a livello di progetto.
Per istruzioni sull'impostazione dei metadati delle istanze, segui le istruzioni sull'API per l'impostazione dei metadati delle istanze.

Nell'ambito della proprietà dei metadati è obbligatoria la seguente coppia chiave-valore:

Chiave: enable-osconfig
Valore: TRUE

Per la gestione dell'inventario del sistema operativo, aggiungi anche la seguente coppia chiave-valore:

Chiave: enable-guest-attributes
Valore: TRUE

Configurare un proxy HTTP

Se utilizzi un proxy HTTP per le tue VM, esegui i comandi seguenti per impostare le variabili di ambiente http_proxy e https_proxy. Devi anche escludere il server di metadati (169.254.169.254) configurando la variabile di ambiente no_proxy in modo che l'agente OS Config possa accedere al server di metadati locale.

Linux

Aggiungi le seguenti variabili di ambiente in una posizione a livello di sistema, ad esempio /etc/environment:

  http_proxy="http://PROXY_IP:PROXY_PORT"
  https_proxy="http://PROXY_IP:PROXY_PORT"
  no_proxy=169.254.169.254,metadata,metadata.google.internal  # Skip proxy for the local Metadata Server.

Sostituisci PROXY_IP e PROXY_PORT con, rispettivamente, l'indirizzo IP e il numero di porta del tuo server proxy.

Windows

Esegui questi comandi dal prompt dei comandi dell'amministratore.

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

Sostituisci PROXY_IP e PROXY_PORT con, rispettivamente, l'indirizzo IP e il numero di porta del tuo server proxy.

Google consiglia di escludere *-osconfig.googleapis.com aggiungendo la variabile di ambiente no_proxy per evitare problemi di connessione da parte dell'agente OS Config.

Disattiva le funzionalità che non ti servono

Per funzionalità che potrebbero non servirti, puoi disattivarle impostando i seguenti valori di metadati: osconfig-disabled-features=FEATURE1,FEATURE2.

Sostituisci FEATURE1,FEATURE2 con uno dei seguenti valori:

Gestione dell'inventario del sistema operativo: osinventory
OS Patch Management: tasks
OS Configuration Management: guestpolicies

Puoi impostare questi valori utilizzando la console Google Cloud, Google Cloud CLI o l'API Compute Engine.

console

Puoi disabilitare i valori dei metadati nei tuoi progetti Cloud o nelle tue VM utilizzando una delle seguenti opzioni:

Opzione 1: disattiva la funzionalità nei metadati a livello di progetto in modo che venga applicata a tutte le istanze del progetto.
1. In Google Cloud Console, vai alla pagina Metadati.
  
  Vai a Metadati
2. Fai clic su Modifica.
3. Aggiungi la seguente voce di metadati:
  
  Chiave: osconfig-disabled-features
  Valore: FEATURE1,FEATURE2
  
  Ad esempio:
  Chiave: osconfig-disabled-features
  Valore: osinventory,guestpolicies
4. Fai clic su Salva per applicare le modifiche.
Opzione 2: disattiva la funzionalità nei metadati di una VM esistente.
1. In Google Cloud Console, vai alla pagina Istanze VM.
  
  Vai alle istanze VM
2. Fai clic sul nome della VM per cui vuoi impostare il valore dei metadati.
3. Nella pagina Dettagli istanza, fai clic su Modifica per modificare le impostazioni della VM.
4. In Metadati personalizzati, aggiungi le seguenti voci di metadati:
  
  Chiave: osconfig-disabled-features
  Valore: FEATURE1,FEATURE2
  
  Ad esempio:
  Chiave: osconfig-disabled-features
  Valore: osinventory
5. Fai clic su Salva per applicare le modifiche alla VM.

gcloud

Utilizza il project-info add-metadata o il instances add-metadata gcloud comando con il flag --metadata=osconfig-disabled-features.

Se disattivi più funzionalità, il formato del flag deve essere --metadata=osconfig-disabled-features=FEATURE1,FEATURE2. Vedi l'esempio 2.

Esempi

Esempio 1 Per disabilitare la gestione delle patch del sistema operativo a livello di progetto Cloud utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

Esempio 2 Per disabilitare la gestione della configurazione del sistema operativo e la gestione dell'inventario del sistema operativo a livello di progetto utilizzando Google Cloud CLI, esegui questo comando:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Sostituisci PROJECT_ID con l'ID progetto.

Server

Puoi impostare il valore dei metadati a livello di progetto Cloud o di istanza.

Per istruzioni sull'impostazione dei metadati a livello di progetto, segui le istruzioni sull'API per l'impostazione dei metadati personalizzati a livello di progetto.
Per istruzioni sull'impostazione dei metadati delle istanze, segui le istruzioni sull'API per l'impostazione dei metadati delle istanze.

Nell'ambito della proprietà dei metadati è obbligatoria la seguente coppia chiave-valore:

Chiave: osconfig-disabled-features
Valore: può essere uno o più dei seguenti flag:
- osinventory
- tasks
- guestpolicies

Requisiti per un agente OS Config attivo

Affinché l'agente OS Config possa essere considerato attivo e fatturabile, deve soddisfare tutti i requisiti seguenti:

Il gestore VM deve essere configurato.
La VM deve essere in stato RUNNING e l'agente OS Config deve comunicare con il servizio OS Config.

Se una VM viene arrestata, sospesa o disconnessa dalla rete, l'agente su quella VM non viene conteggiato come agente attivo.

Verificare la configurazione

Dopo aver completato la procedura di configurazione, puoi verificare la configurazione utilizzando l'elenco di controllo di verifica.

Disabilita l'agente OS Config

La disabilitazione dell'agente OS Config non influisce sul comportamento della VM. Puoi disabilitare l'agente nello stesso modo in cui interrompi gli altri servizi del sistema operativo.

Linux

Per disattivare l'agente utilizzando systemctl, esegui questi comandi:

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

Windows

Per disabilitare l'agente utilizzando powershell, esegui il comando seguente:

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

Passaggi successivi

Crea un'assegnazione dei criteri del sistema operativo.
Visualizza i dettagli del sistema operativo.
Crea job di applicazione patch.
Scopri di più su VM Manager.