OS ポリシーについて


このページでは、OS ポリシーの概要について説明します。OS ポリシーを使用すると、仮想マシン(VM)インスタンスのソフトウェア構成のデプロイ、構成、メンテナンス、レポートを自動化して一元化できます。

ユースケース

OS ポリシーは、次のようなシナリオに適しています。

  • モニタリングやロギングなどのタスクを実行するエージェントのインストールと保守
  • セキュリティ エージェントなどのエージェントのデプロイ、これらのエージェントがすべての VM で実行されていることの確認
  • 起動スクリプトの柔軟性の改善。OS ポリシーでは、既存のスクリプトを変更して再デプロイできます。
  • コンプライアンス チェックの実行
  • ソフトウェア パッケージのアップデート リポジトリの追加
  • オペレーティング システム上のファイルの管理
  • 条件ベースのスクリプトの実行。オペレーティング システム内で一貫した状態を維持するため、特定の条件で実行されるスクリプトを設定できます。

コンポーネント

OS ポリシー

OS ポリシーは、パッケージ、リポジトリ、ファイルなどの OS リソースや、スクリプトで定義されたカスタム リソースの宣言型構成を含むファイルです。

1 つの OS リソースで、エージェントのインストールなどの単一タスクを実行できます。また、変更を行わずに別の割り当てで再利用することもできます。複数の OS リソースを 1 つの OS ポリシーにまとめることで、マルチステップのワークフローを作成できます。たとえば、1 つの OS ポリシーに、リポジトリを設定する 1 つのリソースと、そのリポジトリから特定のパッケージをインストールするもう一つのリソースを含めることができます。

OS ポリシーの詳細については、OS ポリシーと OS ポリシーの割り当てをご覧ください。

OS ポリシーの割り当て

OS ポリシーの割り当ては、VM Manager が OS ポリシーを VM に適用するために使用します。OS ポリシーの割り当てを使用すると、複数の OS ポリシーを組み合わせて、ラベル、OS ファミリー、ゾーンなどのフィルタを使用し、VM の動的なグループにターゲットを設定できます。

たとえば、テスト環境内のすべての Ubuntu VM に 3 つのポリシーを適用し、Google Kubernetes Engine を実行している VM には適用しない OS ポリシーの割り当てを作成するには、次のものを指定します。

  • ポリシー A: Monitoring エージェントをインストールする
  • ポリシー B: Logging エージェントをインストールする
  • ポリシー C: セキュリティ エージェントをインストールする
  • 対象ラベル: env:test
  • 除外ラベル: goog-gke-node
  • OS ファミリー: ubuntu

ロールアウト

新しい OS ポリシーの割り当てを作成すると、VM Manager はロールアウト構成に従って OS ポリシーを各 VM に適用します。ロールアウト中、各 OS ポリシーのコピーが VM に配置されます。OS ポリシーの割り当てを更新すると、VM Manager はターゲット VM 上にある OS ポリシーの構成の変更を確認し、適用します。

構成の変更に伴う潜在的な中断を特定するには、新しい構成変更を段階的に適用することをおすすめします。これにより、ロールアウトをキャンセルして、問題に対処することが可能になります。

ロールアウト オプションを指定すると、構成変更のペースと構成のデプロイ速度を制御できます。OS ポリシーの割り当てのそれぞれのオペレーションでロールアウト プロセスが開始されます。オペレーションには、OS ポリシーの割り当ての作成、更新、削除が含まれます。

ロールアウト オプションを使用すると、次の設定を行うことができます。

  • ウェーブのサイズ(停止予算): 一度にロールアウトが可能な VM の固定数または割合。つまり、ロールアウトの時点で、指定した数の VM のみがターゲットに設定されます。
  • 待機時間: サービスが VM にポリシーを適用してから、VM が停止しきい値から削除されるまでの時間。たとえば、待機時間を 15 分に設定した場合、VM にポリシーが適用された後、VM が停止しきい値から除外されてロールアウト処理が開始するまでに 15 分待機しなければなりません。この待機時間により、ロールアウトの速度を調整するだけでなく、ロールアウトの潜在的な問題を早期に検出し、解決できます。ロールアウトのステータスをモニタリングするのに十分な時間を選択してください。

OS ポリシーの割り当ての作成方法については、OS ポリシーの割り当ての作成をご覧ください。

OS Config エージェント

VM Manager の設定中に、プロジェクト内の VM で OS Config エージェントが有効になります。これらのターゲット VM で実行されている OS Config エージェントは、標準のシステム ユーティリティを使用して、OS ポリシーで指定された変更を適用します。

  • Linux VM は、aptyum などのシステム パッケージ マネージャーを実行し、パッケージをインストールします。また、スクリプト処理に /bin/sh を使用します。
  • Windows VM は、スクリプト処理に googet パッケージ マネージャーと PowerShell を使用します。

VM Manager の設定方法については、VM Manager の設定をご覧ください。

OS ポリシーの仕組み

オペレーティング システムの維持に OS ポリシーを使用する手順は次のとおりです。

  1. OS ポリシーを作成またはダウンロードする
  2. これらの OS ポリシーをターゲット VM に適用する OS ポリシーの割り当てを作成する
OS ポリシーのアーキテクチャ
図 1. OS ポリシー アーキテクチャの概要

OS ポリシーの割り当てが作成されると、VM Manager は OS ポリシーを定期的に確認し、適用します。各適用のチェックの間隔は 60 分です。

チェックと適用中に、VM Manager は次の手順を実行します。

  1. VM に対する OS ポリシーの割り当てを特定します
  2. OS ポリシーの割り当てに関連付けられている OS ポリシーを特定します
  3. 各 OS ポリシーの情報を VM 上で実行されている OS Config エージェントに送信します
  4. OS Config エージェントは各ポリシーを検証し、次のように更新します。
    • OS ポリシー内のリソースがすでに良好な状態になっている場合、OS Config エージェントは何も行いません。
    • OS ポリシー内のリソースが良好な状態でない場合、OS Config エージェントはリソースを良好な状態にするための適切なアクションを実行します。
  5. VM に適用されている各 OS ポリシーのコンプライアンス ステータスを収集します。コンプライアンス レポートを表示するには、コンプライアンス レポートの表示をご覧ください。

料金

料金については、VM Manager の料金をご覧ください。

次のステップ