Questa pagina fornisce una panoramica delle policy del sistema operativo. Utilizza le policy del sistema operativo per automatizzare e centralizzare il deployment, la configurazione, la manutenzione e la generazione di report delle configurazioni software sulle istanze di macchine virtuali (VM).
Casi d'uso
Le policy del sistema operativo sono ideali per i seguenti scenari:
- Installazione e manutenzione di agenti per attività come il monitoraggio e il logging
- Deployment di agenti come gli agenti di sicurezza e verifica della loro esecuzione su tutte le VM
- Miglioramento della flessibilità degli script di avvio. Con le policy del sistema operativo puoi modificare gli script esistenti e ripetere il deployment
- Esecuzione dei controlli di conformità
- Aggiunta di repository di aggiornamento per i pacchetti software
- Gestione dei file sul sistema operativo
- Esecuzione di script basati su condizioni Puoi configurare script che vengono eseguiti in base a determinate condizioni per mantenere uno stato coerente all'interno del sistema operativo.
Componenti
Policy del sistema operativo
Una policy del sistema operativo è un file che contiene la configurazione dichiarativa per le risorse del sistema operativo, come pacchetti, repository, file o risorse personalizzate definite dagli script.
Una risorsa del sistema operativo può eseguire una singola attività, ad esempio l'installazione di un agente, e può essere riutilizzata senza modifiche in assegnazioni diverse. Puoi creare un workflow in più passaggi combinando più risorse del sistema operativo in un'unica policy del sistema operativo. Ad esempio, una policy del sistema operativo può avere una risorsa che configura un repository e una seconda risorsa che installa pacchetti specifici da quel repository.
Per ulteriori informazioni sulle policy del sistema operativo, consulta Policy del sistema operativo e assegnazione delle policy.
Assegnazione delle policy del sistema operativo
Le assegnazioni delle policy del sistema operativo vengono utilizzate da VM Manager per applicare le policy del sistema operativo alle VM. Utilizza le assegnazioni delle policy del sistema operativo per combinare più policy del sistema operativo e impostare come target un gruppo dinamico di VM utilizzando filtri come etichette, famiglie di sistemi operativi e zone.
Ad esempio, puoi creare un'assegnazione delle policy del sistema operativo che applica tre policy a tutte le VM Ubuntu nel tuo ambiente di test, escluse quelle che eseguono Google Kubernetes Engine, specificando quanto segue:
- Policy A: installa l'agente Monitoring
- Policy B: installa l'agente Logging
- Policy C: installa l'agente di sicurezza
- Etichetta per inclusione:
env:test - Etichetta per esclusione:
goog-gke-node - Famiglia di sistemi operativi:
ubuntu
Implementazioni
Quando crei una nuova assegnazione delle policy del sistema operativo, VM Manager applica le policy del sistema operativo a ogni VM in base alla configurazione dell'implementazione. Durante l'implementazione, nella VM viene inserita una copia di ogni policy del sistema operativo. Quando aggiorni l'assegnazione di una policy del sistema operativo, VM Manager controlla e applica le modifiche alla configurazione per la policy del sistema operativo presente sulla VM di destinazione.
Ti consigliamo di applicare le nuove modifiche di configurazione lentamente, per assicurarti di avere il tempo di identificare eventuali interruzioni che potrebbero essere causate dalle modifiche alla configurazione. In questo modo avrai il tempo necessario per annullare l'implementazione e risolvere il problema.
La specifica dell'opzione di implementazione ti consente di gestire le modifiche alla configurazione e di controllare la velocità dei deployment della configurazione. Ogni operazione per un'assegnazione delle policy del sistema operativo avvia un processo di implementazione. Le operazioni includono la creazione, l'aggiornamento o l'eliminazione di un'assegnazione di policy del sistema operativo.
Puoi utilizzare l'opzione di implementazione per impostare quanto segue:
- Dimensioni della wave (budget di interruzione): il numero fisso o la percentuale di VM che possono essere implementate contemporaneamente. Ciò significa che in qualsiasi momento dell'implementazione viene scelto come target solo un numero specifico di VM.
- Tempo di attesa: il tempo che intercorre tra il momento in cui il servizio applica le policy alla VM e il momento in cui una VM viene rimossa dalla soglia di interruzione. Ad esempio, un tempo di attesa di 15 minuti indica che il processo di implementazione deve attendere 15 minuti dopo l'applicazione delle policy a una VM prima di poter rimuovere la VM dalla soglia di interruzione e procedere con l'implementazione. Il tempo di attesa consente di controllare la velocità di un'implementazione e anche di rilevare e risolvere tempestivamente potenziali problemi di implementazione. Seleziona un periodo di tempo sufficiente per monitorare lo stato delle implementazioni.
Per informazioni su come creare assegnazioni delle policy del sistema operativo, consulta Creazione di un'assegnazione delle policy del sistema operativo.
Agente OS Config
Durante la configurazione di VM Manager, gli agenti OS Config vengono attivati sulle VM nel tuo progetto. Gli agenti OS Config in esecuzione su queste VM di destinazione sfruttano utilità di sistema standard per applicare le modifiche specificate nelle policy del sistema operativo.
- Le VM Linux eseguono gestori di pacchetti di sistema come
aptoyumper l'installazione dei pacchetti o/bin/shper gli script. - Le VM Windows eseguono il gestore di pacchetti
googete PowerShell per gli script.
Per informazioni su come configurare VM Manager, consulta Configurazione di VM Manager.
Come funzionano le policy del sistema operativo
Per utilizzare le policy del sistema operativo per la manutenzione dei sistemi operativi, segui questi passaggi:
- Crea o scarica le policy del sistema operativo
- Crea assegnazioni delle policy del sistema operativo che applicano queste policy alle VM di destinazione
Dopo aver creato le assegnazioni delle policy del sistema operativo, VM Manager controlla e applica periodicamente queste policy. L'intervallo di tempo tra ogni controllo dell'applicazione è di 60 minuti.
Durante il controllo e l'applicazione, VM Manager completa i seguenti passaggi:
- Identifica le assegnazioni delle policy del sistema operativo per una VM.
- Identifica le policy del sistema operativo associate alle assegnazioni delle policy del sistema operativo.
- Invia le informazioni per ogni policy del sistema operativo all'agente OS Config in esecuzione sulla VM.
L'agente OS Config convalida quindi ogni policy ed esegue questi aggiornamenti:
- Se le risorse all'interno di una policy del sistema operativo sono già nello stato desiderato, l'agente OS Config non esegue alcuna azione.
- Se le risorse all'interno di una policy del sistema operativo non sono nello stato desiderato, l'agente OS Config intraprende le azioni appropriate per impostarle nello stato desiderato.
Raccoglie lo stato di conformità di ogni policy del sistema operativo applicata alla VM. Per visualizzare i report sulla conformità, consulta Visualizza i report sulla conformità.
Prezzi
Per informazioni sui prezzi, consulta Prezzi di VM Manager.
Passaggi successivi
- Rivedi Policy del sistema operativo e assegnazione delle policy.
- Scopri come creare un'assegnazione delle policy del sistema operativo.
- Scopri come gestire le assegnazioni delle policy del sistema operativo.