このページでは、OS ポリシーの概要について説明します。OS ポリシーを使用すると、仮想マシン(VM)インスタンスのソフトウェア構成のデプロイ、構成、メンテナンス、レポートを自動化して一元化できます。
ユースケース
OS ポリシーは、次のようなシナリオに適しています。
- モニタリングやロギングなどのタスクを実行するエージェントのインストールと保守
- セキュリティ エージェントなどのエージェントのデプロイ、これらのエージェントがすべての VM で実行されていることの確認
- 起動スクリプトの柔軟性の改善。OS ポリシーでは、既存のスクリプトを変更して再デプロイできます。
- コンプライアンス チェックの実行
- ソフトウェア パッケージのアップデート リポジトリの追加
- オペレーティング システム上のファイルの管理
- 条件ベースのスクリプトの実行。オペレーティング システム内で一貫した状態を維持するため、特定の条件で実行されるスクリプトを設定できます。
コンポーネント
OS ポリシー
OS ポリシーは、パッケージ、リポジトリ、ファイルなどの OS リソースや、スクリプトで定義されたカスタム リソースの宣言型構成を含むファイルです。
1 つの OS リソースで、エージェントのインストールなどの単一タスクを実行できます。また、変更を行わずに別の割り当てで再利用することもできます。複数の OS リソースを 1 つの OS ポリシーにまとめることで、マルチステップのワークフローを作成できます。たとえば、1 つの OS ポリシーに、リポジトリを設定する 1 つのリソースと、そのリポジトリから特定のパッケージをインストールするもう一つのリソースを含めることができます。
OS ポリシーの詳細については、OS ポリシーと OS ポリシーの割り当てをご覧ください。
OS ポリシーの割り当て
OS ポリシーの割り当ては、VM Manager が OS ポリシーを VM に適用するために使用します。OS ポリシーの割り当てを使用すると、複数の OS ポリシーを組み合わせて、ラベル、OS ファミリー、ゾーンなどのフィルタを使用し、VM の動的なグループにターゲットを設定できます。
たとえば、テスト環境内のすべての Ubuntu VM に 3 つのポリシーを適用し、Google Kubernetes Engine を実行している VM には適用しない OS ポリシーの割り当てを作成するには、次のものを指定します。
- ポリシー A: Monitoring エージェントをインストールする
- ポリシー B: Logging エージェントをインストールする
- ポリシー C: セキュリティ エージェントをインストールする
- 対象ラベル:
env:test
- 除外ラベル:
goog-gke-node
- OS ファミリー:
ubuntu
ロールアウト
新しい OS ポリシーの割り当てを作成すると、VM Manager はロールアウト構成に従って OS ポリシーを各 VM に適用します。ロールアウト中、各 OS ポリシーのコピーが VM に配置されます。OS ポリシーの割り当てを更新すると、VM Manager はターゲット VM 上にある OS ポリシーの構成の変更を確認し、適用します。
構成の変更に伴う潜在的な中断を特定するには、新しい構成変更を段階的に適用することをおすすめします。これにより、ロールアウトをキャンセルして、問題に対処することが可能になります。
ロールアウト オプションを指定すると、構成変更のペースと構成のデプロイ速度を制御できます。OS ポリシーの割り当てのそれぞれのオペレーションでロールアウト プロセスが開始されます。オペレーションには、OS ポリシーの割り当ての作成、更新、削除が含まれます。
ロールアウト オプションを使用すると、次の設定を行うことができます。
- ウェーブのサイズ(停止予算): 一度にロールアウトが可能な VM の固定数または割合。つまり、ロールアウトの時点で、指定した数の VM のみがターゲットに設定されます。
- 待機時間: サービスが VM にポリシーを適用してから、VM が停止しきい値から削除されるまでの時間。たとえば、待機時間を 15 分に設定した場合、VM にポリシーが適用された後、VM が停止しきい値から除外されてロールアウト処理が開始するまでに 15 分待機しなければなりません。この待機時間により、ロールアウトの速度を調整するだけでなく、ロールアウトの潜在的な問題を早期に検出し、解決できます。ロールアウトのステータスをモニタリングするのに十分な時間を選択してください。
OS ポリシーの割り当ての作成方法については、OS ポリシーの割り当ての作成をご覧ください。
OS Config エージェント
VM Manager の設定中に、プロジェクト内の VM で OS Config エージェントが有効になります。これらのターゲット VM で実行されている OS Config エージェントは、標準のシステム ユーティリティを使用して、OS ポリシーで指定された変更を適用します。
- Linux VM は、
apt
やyum
などのシステム パッケージ マネージャーを実行し、パッケージをインストールします。また、スクリプト処理に/bin/sh
を使用します。 - Windows VM は、スクリプト処理に
googet
パッケージ マネージャーと PowerShell を使用します。
VM Manager の設定方法については、VM Manager の設定をご覧ください。
OS ポリシーの仕組み
オペレーティング システムの維持に OS ポリシーを使用する手順は次のとおりです。
- OS ポリシーを作成またはダウンロードする
- これらの OS ポリシーをターゲット VM に適用する OS ポリシーの割り当てを作成する
OS ポリシーの割り当てが作成されると、VM Manager は OS ポリシーを定期的に確認し、適用します。各適用のチェックの間隔は 60 分です。
チェックと適用中に、VM Manager は次の手順を実行します。
- VM に対する OS ポリシーの割り当てを特定します
- OS ポリシーの割り当てに関連付けられている OS ポリシーを特定します
- 各 OS ポリシーの情報を VM 上で実行されている OS Config エージェントに送信します
- OS Config エージェントは各ポリシーを検証し、次のように更新します。
- OS ポリシー内のリソースがすでに良好な状態になっている場合、OS Config エージェントは何も行いません。
- OS ポリシー内のリソースが良好な状態でない場合、OS Config エージェントはリソースを良好な状態にするための適切なアクションを実行します。
- VM に適用されている各 OS ポリシーのコンプライアンス ステータスを収集します。コンプライアンス レポートを表示するには、コンプライアンス レポートの表示をご覧ください。
料金
料金については、VM Manager の料金をご覧ください。