Sobre as políticas do SO

Nesta página, você encontra uma visão geral das políticas do SO. Use políticas do SO para automatizar e centralizar a implantação, a configuração, a manutenção e os relatórios de configurações de software nas instâncias de máquina virtual (VM).

Casos de uso

As políticas de SO são ideais para os seguintes cenários:

  • Instalar e manter agentes para tarefas como monitoramento e geração de registros
  • Como implantar agentes, como agentes de segurança, e garantir que esses agentes estejam em execução em todas as VMs
  • Melhoria na flexibilidade do script de inicialização Com as políticas de SO, é possível modificar scripts e reimplantá-los
  • Executar verificações de compliance
  • Como adicionar repositórios de atualização para pacotes de software
  • Como gerenciar arquivos no sistema operacional
  • Executar scripts baseados em condições. Você pode configurar scripts executados com base em determinadas condições para manter um estado consistente no sistema operacional.

Componentes

Política de SO

Uma política de SO é um arquivo que contém a configuração declarativa para recursos do SO, como pacotes, repositórios, arquivos ou recursos personalizados definidos por scripts.

Um recurso do SO pode executar uma única tarefa, como instalar um agente, e ser reutilizado sem alterações em atribuições diferentes. É possível criar um fluxo de trabalho de várias etapas combinando vários recursos do sistema operacional em uma única política. Por exemplo, uma política do SO pode ter um recurso que configura um repositório e um segundo recurso que instala pacotes específicos desse repositório.

Para mais informações sobre as políticas do SO, consulte Política do SO e atribuição de política do SO.

Atribuição de política do SO

As atribuições de políticas do SO são usadas pelo VM Manager para aplicar suas políticas de SO às VMs. Use as atribuições de políticas do SO para combinar várias políticas de SO e segmentá-las a um grupo dinâmico de VMs usando filtros como rótulos, famílias de sistema operacional e zonas.

Por exemplo, é possível criar uma atribuição de política de SO que aplique três políticas a todas as VMs do Ubuntu no seu ambiente de teste, excluindo as que executam o Google Kubernetes Engine:

  • Política A: instalar o agente de monitoramento
  • Política B: instalar o agente de geração de registros
  • Política C: instalar o agente de segurança
  • Incluir marcador: env:test
  • Excluir marcador: goog-gke-node
  • Família do SO: ubuntu

Lançamentos

Quando você cria uma nova atribuição de política do SO, o VM Manager aplica as políticas de SO a cada VM de acordo com a configuração de lançamento. Durante o lançamento, uma cópia de cada política do SO é colocada na VM. Quando você atualiza uma atribuição de política do SO, o VM Manager verifica e impõe as alterações de configuração da política do SO que está na VM de destino.

Recomendamos que você aplique novas alterações de configuração lentamente para ter tempo de identificar interrupções em potencial que possam ser causadas por alterações de configuração. Assim, você tem o tempo necessário para cancelar o lançamento e resolver o problema.

A especificação da opção de lançamento permite que você altere as alterações de configuração e controle a velocidade das implantações de configuração. Cada operação para uma atribuição de política de SO inicia um processo de lançamento. As operações incluem a criação, atualização ou exclusão de uma atribuição de política do SO.

Você pode usar a opção de lançamento para definir o seguinte:

  • Tamanho da onda (orçamento de interrupção): o número fixo ou a porcentagem de VMs que podem passar por um lançamento de uma só vez. Isso significa que, a qualquer momento do lançamento, apenas um número específico de VMs é segmentado.
  • Tempo de espera: o tempo entre o momento em que o serviço aplica políticas à VM e quando uma VM é removida do limite de interrupção. Por exemplo, um tempo de espera de 15 minutos significa que o processo de lançamento precisa aguardar 15 minutos após aplicar as políticas a uma VM antes de removê-la do limite de interrupção e o lançamento pode continuar. O tempo de espera ajuda a controlar a velocidade de um lançamento e também permite identificar e resolver possíveis problemas com antecedência. Selecione um período longo o suficiente para monitorar o status dos lançamentos.

Para informações sobre como criar atribuições de política do SO, consulte Como criar uma atribuição de política do SO.

Agente de configuração do SO

Durante a configuração do VM Manager, os agentes de configuração do SO são ativados nas VMs do projeto. Os agentes de configuração do SO em execução nessas VMs de destino usam utilitários padrão do sistema para aplicar as alterações especificadas nas políticas do SO.

  • As VMs do Linux executam gerenciadores de pacotes do sistema, como apt ou yum, para instalação do pacote ou /bin/sh para script.
  • As VMs do Windows executam o gerenciador de pacotes googet e o PowerShell para a criação de scripts.

Para informações sobre como configurar o VM Manager, consulte Como configurar o VM Manager.

Como funcionam as políticas de SO

Para usar as políticas de SO na manutenção dos seus sistemas operacionais, faça o seguinte:

  1. Crie ou faça o download de políticas do SO.
  2. Crie atribuições de políticas do SO que apliquem estas políticas do SO às VMs de destino.
Arquitetura de políticas do SO.
Figura 1. Visão geral da arquitetura de políticas do SO

Depois que as atribuições de políticas do SO são criadas, o VM Manager verifica e aplica periodicamente essas políticas do SO. O intervalo de tempo entre cada verificação de aplicação é de 60 minutos.

Durante a verificação e a aplicação, o VM Manager conclui as seguintes etapas:

  1. Identifica as atribuições de política do SO de uma VM
  2. Identifica as políticas do SO associadas às atribuições de políticas de SO
  3. Envia as informações de cada política do SO para o agente de configuração do SO em execução na VM
  4. Em seguida, o agente de configuração do SO valida cada política e faz atualizações da seguinte maneira:
    • Se os recursos em uma política do SO já estiverem no estado pretendido, o agente de configuração do SO não executará nenhuma ação.
    • Se os recursos em uma política do SO não estiverem no estado pretendido, o agente de configuração do SO tomará as medidas apropriadas para levar os recursos para o estado pretendido.
  5. Coleta o status de conformidade de cada política do SO aplicada à VM. Para visualizar relatórios de conformidade, consulte Como visualizar relatórios de conformidade.

Preços

Para mais informações sobre preços, consulte Preços do VM Manager.

A seguir