Configurar o VM Manager

No Compute Engine, é possível gerenciar os sistemas operacionais em execução nas máquinas virtuais (VMs) usando o VM Manager.

É possível ativar o VM Manager para VMs individuais ou, para um projeto, ou para todos os projetos de uma pasta ou organização. Para analisar as etapas necessárias de configuração das VMs para uso do VM Manager, consulte Visão geral da configuração.

Após a configuração do VM Manager, será possível visualizar os registros de auditoria das operações da API realizadas com a API OS Config. Consulte Como visualizar registros de auditoria do VM Manager.

Antes de começar

• Revise as cotas de configuração do SO do seu projeto.
• Configure a autenticação, caso ainda não tenha feito isso. A autenticação é o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud . Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no Compute Engine selecionando uma das seguintes opções:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Install the Google Cloud CLI, then initialize it by running the following command:

     gcloud init

  2. Set a default region and zone.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Sistemas operacionais compatíveis

Para ver a lista completa de versões do sistema operacional compatíveis com o VM Manager, consulte Detalhes do sistema operacional. Se o agente de configuração do SO não estiver disponível para um sistema operacional específico, não será possível ativar o VM Manager para uma VM que executa esse sistema operacional.

Ativar o VM Manager usando uma política da organização

É possível ativar automaticamente o VM Manager para todas as novas VMs na sua organização, pasta ou projeto usando a política da organização "Requer configuração do SO".

Quando a restrição booleana "Exigir configuração do SO" é configurada, as seguintes condições são aplicadas:

• enable-osconfig=TRUE está incluído nos metadados do projeto para todos os novos projetos.
• As solicitações que definem enable-osconfig como FALSE nos metadados da instância ou do projeto são rejeitadas para VMs e projetos novos e atuais.
• Essa política da organização não muda o valor de metadados enable-osconfig para TRUE em VMs ou nos projetos criados antes da ativação da política. Se você quiser ativar o VM Manager nessas VMs ou projetos, recomendamos atualizar os metadados. Para mais informações, consulte Definir os valores dos metadados.

Quando a política da organização de configuração do SO está ativada, ainda é possível usar os metadados osconfig-disabled-features para desativar um ou mais recursos do VM Manager.

Ativar a política da organização para configuração do SO

Para ativar a política do OS Config, defina a restrição "Require OS Config" em toda a organização, pastas ou projetos específicos usando o console do Google Cloud ou a CLI do Google Cloud.

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --folder=folder-id

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --project=project-id

Ativar o VM Manager em um projeto

Para ativar o VM Manager no seu projeto, você tem duas opções:

• Ativação automática: aplica-se a todo o projeto do Google Cloud. Você conclui a ativação automática no Console do Google Cloud. Talvez seja necessário concluir algumas etapas manualmente.

• Capacitação manual: pode ser feita por VM ou para todo o projeto do Google Cloud.

Ativar a API do serviço de configuração do SO

No projeto do Google Cloud, ative a API OS Config.

gcloud services enable osconfig.googleapis.com

Verifique se o agente de configuração do SO está instalado

O agente de configuração do SO é instalado por padrão nas imagens CentOS, Container-Optimized OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e Windows Server com uma data de criação de v20200114 ou posterior. Para informações sobre as versões dos sistemas operacionais com o agente de configuração do SO instalado, consulte Detalhes do sistema operacional. Esses agentes executam de maneira inativa até que você ative os metadados do agente e ative a API do serviço.

sudo systemctl status google-osconfig-agent

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

PowerShell Get-Service google_osconfig_agent

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Instalar o agente de configuração do SO

Antes de seguir estas instruções para instalar o agente, verifique se ele já está em execução na VM.

Instale o agente de configuração do SO em cada VM. É possível fazer isso usando uma destas opções:

• Instalar o agente manualmente usando o terminal.
• Usar um script de inicialização nas VMs.
• Automatize a instalação da configuração do SO em várias VMs usando uma política de agente do Google Cloud Observability.

Instalar o agente manualmente

Use esta opção para instalar o agente de configuração do SO em uma VM atual.

Para instalar o agente, siga estes passos:

1. Conecte-se à VM em que você quer instalar o agente de configuração do SO.

2. Instale o agente de configuração do SO.

   Windows Server

   Para instalar o agente de configuração do SO em um Windows Server, execute este comando:

   googet -noconfirm install google-osconfig-agent
   

   Ubuntu

   Para instalar o agente de configuração do SO em uma VM do Ubuntu, execute estes comandos:

   1. Configure o repositório do Ubuntu.

      • Para o Ubuntu 20.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a chave pública Google Cloud .

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Para o Ubuntu 18.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a chave pública Google Cloud .

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • No Ubuntu 16.04, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a chave pública Google Cloud .

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

   2. Instale o agente de configuração do SO.

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

   Debian

   Para instalar o agente de configuração do SO em uma VM do Debian, execute estes comandos:

   sudo apt update
   sudo apt -y install google-osconfig-agent
   

   Como adicionar o repositório Google Cloud e a chave pública

   Se você estiver usando uma instância de VM que não foi criada a partir de uma imagem fornecida pelo Google ou se recebeu a mensagem de erro "Não foi possível localizar o pacote", siga as etapas abaixo para adicionar o repositório Google Cloude importar a chave pública.

   Depois de fazer isso, será possível executar os comandos para instalar o agente de configuração do SO.

   • Para o Debian 9 (Stretch), execute estes comandos:

     1. Adicione o repositório do Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe a chave pública Google Cloud .

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   • Para o Debian 10 (Buster), execute estes comandos:

     1. Adicione o repositório do Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe a chave pública Google Cloud .

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   RHEL/CentOS/Rocky

   Para instalar o agente de configuração do SO em uma VM RHEL 7/8, CentOS 7/8 ou Rocky Linux 8/9, execute o seguinte comando:

   sudo yum -y install google-osconfig-agent
   

   SLES/openSUSE

   Para instalar o agente de configuração do SO em uma VM do SLES ou openSUSE, execute os seguintes comandos:

   1. Configure o repositório do SLES.

      • No SLES 12, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        

      • Para o SLES 15 e o OpenSUSE 15, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        

   2. Importe as chaves GPG para Google Cloud.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      

   3. Instale o agente de configuração do SO.

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
      

Como instalar o agente usando um script de inicialização

Também é possível usar os comandos de instalação manual para criar um script de inicialização que instala o agente de configuração do SO durante a criação da VM.

1. Copie os comandos manuais referentes ao seu sistema operacional.

2. Forneça o script de inicialização ao método de criação de VM.

   Por exemplo, se você estiver usando o comando gcloud compute instances create para criar uma VM com o Debian 10, seu comando será semelhante a este:

   gcloud compute instances create VM_NAME \
      --image-family=debian-10 --image-project=debian-cloud \
      --metadata startup-script='#! /bin/bash
      apt update
      apt -y install google-osconfig-agent'

   Substitua VM_NAME pelo nome da VM.

3. Verifique se o script de inicialização foi concluído. Para verificar isso, confira os registros ou verifique o console serial.

Definir os valores de metadados

É possível definir metadados de instância em cada VM ou metadados de projeto que se apliquem a todas as VMs no projeto.

No projeto ou na VM do Cloud, defina o valor de metadados enable-osconfig como TRUE. Definir o valor dos metadados enable-osconfig como TRUE ativa o seguinte:

• Patch
• Políticas do SO
• Gerenciamento de inventário do SO
  • Para a versão anterior do gerenciamento de inventário do SO, você também precisa definir o valor de metadados enable-guest-attributes como TRUE. Se os dois valores de metadados não forem definidos, o painel mostrará no data para a VM. Isso não é necessário para a versão posterior. Para mais informações sobre as duas versões do OS Inventory Management, consulte Versões do gerenciamento de inventário do SO.

Configurar um proxy HTTP

Se você usa um proxy HTTP para suas VMs, execute os seguintes comandos para definir as variáveis de ambiente http_proxy e https_proxy. Exclua também o servidor de metadados (169.254.169.254) ao configurar a variável de ambiente no_proxy para que o agente de configuração do SO possa acessar o servidor de metadados local.

mkdir -p /etc/systemd/system/google-osconfig-agent.service.d
cat >/etc/systemd/system/google-osconfig-agent.service.d/override.conf <<EOF
[Service]
Environment="http_proxy=http://PROXY_IP:PROXY_PORT" \
  "https_proxy=http://PROXY_IP:PROXY_PORT" \
  "no_proxy=169.254.169.254,metadata,metadata.google.internal"
EOF

systemctl daemon-reload
systemctl restart google-osconfig-agent

tr '\0' '\n' < /proc/$(systemctl show -p MainPID --value google-osconfig-agent)/environ

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

O Google recomenda que você exclua *.googleapis.com adicionando a variável de ambiente no_proxy para evitar problemas de conexão do agente de configuração do SO. Se você quiser conectar apenas VMs específicas ao agente de configuração do SO, insira o prefixo da zona em que as VMs estão e use o formato [zone-name]-osconfig.googleapis.com. Por exemplo, us-central1-f-osconfig.googleapis.com.

Como desativar recursos desnecessários

Quando se trata de recursos que talvez você não precise, é possível desativá-los ao definir os seguintes valores de metadados: osconfig-disabled-features=FEATURE1,FEATURE2.

Substitua FEATURE1,FEATURE2 por qualquer um destes valores:

• Gerenciamento de inventário do SO: osinventory
• Políticas de patch e SO: tasks
• Políticas de convidado do SO (Beta): guestpolicies

Use um dos métodos a seguir para desativar os valores de metadados.

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Requisitos para um agente ativo de configuração do SO

Para que o agente de configuração do SO seja considerado ativo e faturável, ele precisa atender a todos os requisitos abaixo:

• O VM Manager precisa estar configurado.

• A VM precisa estar no estado RUNNING e é necessário que haja comunicação entre o agente e o serviço de configuração do SO.

  Se uma VM for interrompida, suspensa ou desconectada da rede, o agente dela não será contabilizado como um agente ativo.

Verifique a configuração

Depois de concluir o procedimento de configuração, é possível verificar a configuração.

Conferir as configurações de recursos do VM Manager para seu projeto

Para verificar se todos os recursos do VM Manager estão ativados no projeto, faça o seguinte:

gcloud compute os-config project-feature-settings describe \
    --project PROJECT_ID

name: projects/my-project/locations/global/projectFeatureSettings
patchAndConfigFeatureSet: OSCONFIG_C

   GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   

{
 "name": "projects/my-project/locations/global/projectFeatureSettings",
 "patchAndConfigFeatureSet": "OSCONFIG_C"
}

Ativar a funcionalidade completa do VM Manager

Se o VM Manager não estiver ativado no seu projeto e você instalar o Agente de operações durante a criação da VM, o VM Manager será ativado no modo limitado. Nesse modo, o VM Manager oferece um subconjunto de recursos para um número ilimitado de VMs sem custos. Por exemplo, é possível ver as atribuições de políticas do SO das suas VMs na página de políticas do SO, mas não é possível criar ou editar atribuições de políticas do SO.

Para ativar todos os recursos do VM Manager nessas VMs com o Agente de operações instalado, faça isto:

gcloud compute os-config project-feature-settings update \
    --project PROJECT_ID \
    --patch-and-config-feature-set=full

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   {
     "name": "projects/PROJECT_ID/locations/global/projectFeatureSettings",
     "patchAndConfigFeatureSet": "OSCONFIG_C"
   }
   

Desativar o agente de configuração do SO

Desativar o agente de configuração do SO não afeta o comportamento da VM. É possível desativar o agente da mesma forma que você interrompe outros serviços do sistema operacional.

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

A seguir

• Crie uma atribuição de política do SO.
• Veja os detalhes do sistema operacional.
• Crie jobs de patch.
• Saiba mais sobre o VM Manager.