Patchjobs erstellen

Sie können Patch verwenden, um Patches für Betriebssysteme auf eine Gruppe von VM-Instanzen anzuwenden.

Führen Sie die folgenden Schritte aus, um Patches auf Ihre VMs anzuwenden:

1. Richten Sie Ihre VM ein.
2. Führen Sie einen Patch-Job aus.

Hinweise

• Prüfen Sie die OS Config-Kontingente.
• Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud-Dienste und APIs überprüft. Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich wie folgt bei Compute Engine authentifizieren.
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Install the Google Cloud CLI, then initialize it by running the following command:

     gcloud init

  2. Set a default region and zone.

  REST

  Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Beschränkungen

• Sie können Patch-Jobs nur für VMs in einem einzelnen Google Cloud-Projekt bereitstellen. Sie können Patch-Jobs nicht über Google Cloud-Projekte hinweg ausführen, auch wenn sich die VMs in einer freigegebenen VPC befinden. Sie können jedoch projektübergreifend Patch-Compliance-Daten aufrufen.
• Die folgenden Einschränkungen gelten, wenn Sie VMs patchen, die Teil einer verwalteten Instanzgruppe (Managed Instance Group, MIG) sind:
  • Wenn eine verwaltete Instanzgruppe eine VM repariert, wird die VM anhand der Instanzvorlage neu erstellt. Dies kann die VM in einen nicht gepatchten Zustand zurückversetzen.
  • Das Patchen von VMs kann zu unerwarteten Ergebnissen in einer MIG führen, für die Autoscaling aktiviert ist. Autoscaling löscht gepatchte VMs, wenn die Last sinkt, und erstellt neue VMs ohne Patches. Dabei wird die MIG-Instanzvorlage verwendet, wenn die Last zunimmt. Wenn beispielsweise die durchschnittliche CPU-Auslastung unter der Zielauslastung liegt, die Sie für das Autoscaling angegeben haben, kann die MIG einige der gepatchten VMs beim Herunterskalieren entfernen.

Unterstützte Betriebssysteme

Eine vollständige Liste der Betriebssysteme und Versionen, die Patch unterstützen, finden Sie unter Details zu Betriebssystemen.

VM einrichten

Führen Sie die folgenden Schritte aus, um das Patch-Feature zu verwenden:

1. Richten Sie für alle VMs VM-Manager ein.
2. Google empfiehlt für Windows-VMs, die automatische Aktualisierung von VMs zu deaktivieren. Dadurch werden Konflikte zwischen den automatischen Windows-Updates und dem Patch-Dienst verringert.

Berechtigungen

Die Inhaber eines Google Cloud Projekts haben uneingeschränkten Zugriff auf die Ausführung und Verwaltung von Patch-Jobs. Für alle anderen Nutzer müssen Sie Berechtigungen erteilen. Dafür können Sie eine dieser detaillierten Rollen zuweisen:

• roles/osconfig.patchJobExecutor: Enthält Berechtigungen zum Ausführen, Abbrechen, Abrufen und Auflisten von Patch-Jobs. Enthält auch Berechtigungen zum Anzeigen von Instanzdetails für einen Patch-Job.
• roles/osconfig.patchJobViewer: Enthält Berechtigungen für den Lesezugriff zum Abrufen und Auflisten von Patch-Jobs. Enthält auch Berechtigungen zum Anzeigen von Instanzdetails für einen Patch-Job.

Verwenden Sie beispielsweise den folgenden Befehl, um einem Nutzer Zugriff zum Ausführen von Patch-Jobs zu gewähren:

gcloud projects add-iam-policy-binding project-id \
    --member user:user-id@gmail.com \
    --role roles/osconfig.patchJobExecutor

Dabei gilt:

• project-id: die Projekt-ID
• user-id: der Google Workspace-Nutzername des Nutzers

Patch-Jobs ausführen

Sie können einen Patch-Job mit dem Befehl Google Cloud Console ,Google Cloud CLI oder REST ausführen.

Wenn Sie einen Patch-Job ausführen, wird das Patching der VMs gleichzeitig für alle Instanzen gestartet, die durch den Instanzfilter festgelegt wurden.

Nachdem Sie einen Patch-Job gestartet haben, können Sie Ihre Patches im Patch-Dashboard überwachen. Wenn ein Patch-Job gestartet wurde, dauert es etwa 30 Minuten, bis die Daten im Dashboard erscheinen.

gcloud compute os-config patch-jobs execute instance-filter

gcloud compute os-config patch-jobs execute \
    --instance-filter-names="zones/us-east1-b/instances/instance-1" \
    --description "patch for instance-1"

gcloud compute os-config patch-jobs execute \
    --instance-filter-all \
    --duration="1h30m" --reboot-config="DEFAULT" \
    --apt-dist --windows-exclusive-patches=4339284 \
    --yum-minimal --yum-security \
    --async

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter": instance-filter
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "description":"patch instance1 in us-east1-b",
  "duration":"5400s",
  "instanceFilter":{
    "instances":[
      "zones/us-east1-b/instances/instance1"
    ]
  }
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "groupLabels":[
      {
        "labels":{
          "env":"dev",
          "app":"web"
        }
      }
    ],
    "instanceNamePrefixes":[
      "test-"
    ],
    "zones":[
      "asia-east1-b",
      "asia-east1-c"
    ]
  }
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
 "duration":"5400s",
 "instanceFilter":{
   "all":true
 },
 "patchConfig":{
   "rebootConfig":"DEFAULT",
   "apt":{
     "type":"DIST"
   },
   "yum":{
     "security":true,
     "minimal":true
   },
   "windowsUpdate":{
     "exclusivePatches":"4339284"
   }
 }
}

Instanzfilter

Sie können mit Filtern angeben, welche Instanzen in einem Patch-Job enthalten sein sollen. Die folgenden Filter werden für Patch.Jobs unterstützt:

• Nach Name filtern: Beschränkt den Patch-Job auf Instanzen mit bestimmten Namen. Instanznamen müssen mit dem vollständigen URI angegeben werden. Folgende URI-Formate werden unterstützt:

  • zones/zone/instances/instance-name

  • projects/project-id/zones/zone/instances/instance-name

  • https://www.googleapis.com/compute/v1/projects/project-id/zones/zone/instances/instance-name

• Nach Namenspräfix filtern: Beschränkt den Patch-Job auf Instanzen mit einem bestimmten Präfix im Namen.

• Nach Zone filtern: Beschränkt den Patch-Job auf Instanzen in einer bestimmten Zone.

• Nach Label filtern: Beschränkt den Patch-Job auf Instanzen mit bestimmten Labels.

Sie können Patch-Jobs auch auf allen Instanzen in einem Google Cloud-Projekt ausführen. Setzen Sie dazu das Feld all in instanceFilter auf true. Weitere Informationen finden Sie unter Beispiele für Instanzfilter.

Beispiele für Instanzfilter

--instance-filter-all

{
  "instanceFilter":{
    "all":"true"
  }
}

--instance-filter-names="zones/us-east1-b/instances/instance1"

{
  "instanceFilter":{
    "instances":[
      "zones/us-east1-b/instances/instance1"
    ]
  }
}

--instance-filter-name-prefixes="app-"

{
  "instanceFilter":{
    "instanceNamePrefixes":[
      "app-"
    ]
  }
}

--instance-filter-zones="us-east1-b","us-east1-c"

{
  "instanceFilter":{
    "zones":[
      "us-east1-b",
      "us-east1-c"
    ]
  }
}

--instance-filter-group-labels="env=dev,app=web"
--instance-filter-group-labels="env=dev,app=worker"

{
  "instanceFilter":{
    "groupLabels":[
      {
        "labels":{
          "env":"dev",
          "app":"web"
        }
      },
      {
        "labels":{
          "env":"dev",
          "app":"worker"
        }
      }
    ]
  }
}

Instanzfilter kombinieren

Instanzfilter können auch kombiniert werden. Wenn Sie beispielsweise einen Patch-Job für Instanzen mit dem Präfix test-, die sich in der Zone us-east1-c befinden und die Labels env=dev und app=web enthalten, ausführen möchten, führen Sie den folgenden Befehl aus:

gcloud compute os-config patch-jobs execute \
    --instance-filter-name-prefixes="test-" \
    --instance-filter-zones="us-east1-c" \
    --instance-filter-group-labels="env=prod,app=web"

Patchkonfiguration

Beim Ausführen eines Patch-Jobs können Sie Parameter angeben, um die Patches zu steuern, die auf die VM angewendet werden. Die Patch-Konfigurationsparameter sind plattformabhängig und werden häufig an die zugrunde liegenden Systemupdate-Tools übergeben. Die eigentlichen Patches stammen aus den Package Repositories (Linux) oder dem Windows Update-Server (Windows), der auf der VM konfiguriert ist.

Sie können die folgenden Patch-Konfigurationen für Ihre VMs angeben:

• Unter Windows geben Sie die Klassifizierung der anzuwendenden Patches an (z. B. Security und Critical) oder zielen auf bestimmte KBs ab, die ausgeschlossen werden sollen. Weitere Informationen zur Patch-Klassifizierung finden Sie in der Dokumentation zu Microsoft-Support.

• Für RHEL, Rocky Linux und CentOS ist das zugrunde liegende System yum.

  • Für Patches, die auf RHEL- und Rocky Linux-VMs abzielen, können Sie security- und minimal-Pakete angeben.
  • Für CentOS-VMs gibt es keine security-Metadaten im CentOS yum-Repository. Daher müssen Sie beim Aktualisieren von Sicherheitspaketen die Option security nicht angeben. Wenn Sie kein Paket angeben, aktualisiert der Patch-Job alle Pakete, einschließlich Paketen mit Sicherheitsupdates.
  • Sie können auch bestimmte Pakete ausschließen. Weitere Informationen finden Sie auf den yum-man-Seiten.

• Für Debian und Ubuntu ist das zugrunde liegende System apt. Für Patches, die auf diese VMs abzielen, können Sie dist-upgrade oder ein Standardupgrade angeben. Sie können auch bestimmte Pakete ausschließen. Weitere Informationen finden Sie auf den Debian-man-Seiten und den Ubuntu-man-Seiten.

• Für SuSE ist das zugrunde liegende System zypper. Dabei werden insbesondere Zypper-Patches verwendet. Für Patches, die auf diese VMs abzielen, können Sie z. B. folgende Optionen angeben:

  • with update: Alle Pakete, die nicht von Patches abgedeckt werden, werden aktualisiert
  • with optional: Optionale Patches werden nach Bedarf behandelt
  • Die Kategorien oder Schweregrade der anzuwendenden Patches

  Sie können auch bestimmte Patches ausschließen.

Optional können Sie für alle unterstützten Betriebssysteme festlegen, dass genehmigte Patches nur durch Angabe dieser Updates installiert werden. So können Sie eine Liste genehmigter Pakete oder Patches eingeben. Wenn Sie diese genehmigten Patches auswählen, werden nur die genehmigten Pakete oder Patches installiert. Alle anderen Patch-Konfigurationsparameter werden während des Updates übersprungen.

Beispiele

gcloud compute os-config patch-jobs execute \
    --instance-filter-zones="northamerica-northeast1-a" \
    --apt-dist \
    --yum-security \
    --yum-minimal \
    --zypper-categories=security \
    --windows-classifications=critical,security \
    --reboot-config=default

gcloud compute os-config patch-jobs execute --help

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute
{
    "instanceFilter":{
        "zones":[
            "northamerica-northeast1-a"
        ]
    },
    "patchConfig":{
        "apt": {
            "type": "dist-upgrade"
        },
        "yum": {
            "security": true,
            "minimal": true
        },
        "zypper": {
            "categories": ["security"]
        },
        "windowsUpdate": {
            "classifications": ["CRITICAL", "SECURITY"]
        },
        "rebootConfig": "DEFAULT"
    }
}

Wartungsfenster

Ein Wartungsfenster ist die Gesamtdauer, während der ein Patch-Job ausgeführt werden kann. Patch-Jobs führen zu einer Zeitüberschreitung, wenn sie nicht innerhalb des angegebenen Wartungsfensters abgeschlossen werden.

Wenn Sie beispielsweise ein Wartungsfenster von 60 minutes festlegen, werden 60 Minuten nach der Startzeit keine neuen Patch-Jobs initiiert. Einige Prozesse wie das Herunterladen einer Datei oder ein Neustart können außerhalb dieses Wartungsfensters stattfinden, es werden jedoch keine neuen Patch-Jobs initiiert.

Neustartoptionen

Beim Ausführen eines Patch-Jobs können Sie die Neustartoptionen für den Patch angeben. Folgende Optionen sind verfügbar:

• Standardeinstellung: Der Agent entscheidet, ob ein Neustart erforderlich ist. Dazu werden bekannte Signale in jedem Betriebssystem geprüft. Während des Patchings können mehrere Neustarts erfolgen, bevor Patches installiert werden.
• Immer: Der Computer wird nach Abschluss des Updates neu gestartet.
• Nie: Der Computer wird nach Abschluss des Updates nicht neu gestartet. In einigen Fällen bedeutet dies, dass nicht alle Patches vollständig angewendet werden.

Pre-Patch- und Post-Patch-Skripts

Beim Ausführen eines Patch-Jobs können Sie festlegen, dass Skripts als Teil des Patching-Prozesses ausgeführt werden. Diese Skripts sind nützlich für Aufgaben wie das Herunterfahren einer Anwendung sowie für Systemdiagnosen.

• Pre-Patch-Skripts werden vor dem Patching ausgeführt. Muss das System vor Beginn des Patchings neu gestartet werden, wird das Pre-Patch-Skript vor dem Neustart ausgeführt.
• Post-Patch-Skripts werden nach dem Patching ausgeführt. Muss das System während des Patchings neu gestartet werden, wird das Post-Patch-Skript nach dem Neustart ausgeführt.

Ein Patch-Job akzeptiert ein Pre-Patch- und ein Post-Patch-Skript für Linux sowie ein Pre-Patch- und ein Post-Patch-Skript für Windows. Linux- und Windows-Scripts müssen mit den entsprechenden Flags, Parametern oder Abschnitten bereitgestellt werden, wenn sie über die Google Cloud CLI, REST oder die Google Cloud Console angegeben werden. Linux-Skripts werden nur auf Linux-VMs und Windows-Skripts nur auf Windows-VMs ausgeführt.

Diese Skriptdateien können entweder auf der VM oder in einem versionierten Cloud Storage-Bucket gespeichert werden. Wenn Ihr Cloud Storage-Objekt nicht öffentlich lesbar ist, prüfen Sie, ob das Compute Engine-Standarddienstkonto für das Google Cloud-Projekt die erforderlichen IAM-Berechtigungen zum Lesen von Cloud Storage-Objekten hat. Prüfen Sie die Berechtigungseinstellungen für das Cloud Storage-Objekt, um zu gewährleisten, dass Sie die richtigen Berechtigungen haben.

Wenn Sie Ihre Skripts in einem Cloud Storage-Bucket speichern möchten, erstellen Sie einen Cloud Storage-Bucket und laden Sie Ihre Skripts in den Bucket hoch.

Beispiele

gcloud compute os-config patch-jobs execute \
    --instance-filter-zones="northamerica-northeast1-a" \
    --async \
    --pre-patch-linux-executable="/tmp/pre_patch_script.sh" \
    --post-patch-linux-executable="gs://my-patch-scripts/linux/post_patch_script#1523477886880" \
    --pre-patch-windows-executable="C:\\Users\\user\\pre-patch-script.cmd" \
    --post-patch-windows-executable="gs://my-patch-scripts/windows/post_patch_script.ps1#135920493447"

gcloud compute os-config patch-jobs execute --help

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "zones":[
      "northamerica-northeast1-a"
    ]
  },
  "patchConfig":{
    "preStep":{
      "linuxExecStepConfig":{
        "localPath":"/tmp/pre_patch_script.sh"
      },
      "windowsExecStepConfig":{
        "interpreter":"SHELL",
        "localPath":"C:\\Users\\user\\pre-patch-script.cmd"
      }
    },
    "postStep":{
      "linuxExecStepConfig":{
        "gcsObject":{
          "bucket":"my-patch-scripts",
          "generationNumber":"1523477886880",
          "object":"linux/post_patch_script"
        }
      },
      "windowsExecStepConfig":{
        "gcsObject":{
          "bucket":"my-patch-scripts",
          "generationNumber":"135920493447",
          "object":"windows/post_patch_script.ps1"
        },
        "interpreter":"POWERSHELL"
      }
    }
  }
}

Patch-Rollout-Optionen

Sie können VMs zonenweise (Zone für Zone) patchen. Alternativ ist auch das Patchen aller Zonen gleichzeitig möglich.

Sie können nicht nur eine Auswahl für den Rollout der Zone treffen, sondern auch ein Zonenunterbrechungsbudget für Ihre VMs festlegen.

Unterbrechungsbudget für Zonen

Ein Unterbrechungsbudget ist die maximale Anzahl oder der Prozentsatz der VMs pro Zone, die zu einem bestimmten Zeitpunkt unterbrochen werden sollen.

Was wird als unterbrochene VM betrachtet?

Während des Patchens gilt eine VM ab dem Zeitpunkt, zu dem der OS Config-Agent zum Starten angewiesen wird, bis zum Abschluss des Patch-Vorgangs als unterbrochen. Diese Unterbrechungszeit umfasst die Zeit für den Neustart und alle Schritte nach dem Patch.

Eine VM wird ebenfalls auf das Unterbrechungsbudget angerechnet, wenn sie eine der folgenden Bedingungen erfüllt:

• Der Patch-Vorgang schlägt bei Anwendung der Patches fehl.
• Der Patch-Vorgang schlägt fehl, wenn Schritte vor oder nach dem Patch ausgeführt werden.
• Der Patch-Vorgang sendet vor Ablauf des Zeitlimits keine Erfolgsbenachrichtigung.

Funktionsweise von Unterbrechungsbudgets

Bei zonenweisen Rollouts wird der Patch-Job beendet, wenn das Unterbrechungsbudget in einer Zone überschritten wird. Der Grund hierfür ist, dass der Patch-Vorgang in der vorherigen Zone abgeschlossen sein muss, bevor mit der nächsten Zone fortgefahren werden kann.

Wenn das Unterbrechungsbudget beispielsweise einen Wert von 10 hat und 8 VMs in der aktuellen Zone nicht gepatcht werden können, werden im Rahmen des Patch-Jobs jeweils 2 VMs gleichzeitig gepatcht, bis die Zone abgeschlossen ist. Wenn diese Zone erfolgreich abgeschlossen ist, beginnt das Patchen in der nächsten Zone mit 10 VMs gleichzeitig. Wenn 10 VMs in der nächsten Zone nicht gepatcht werden können, wird der Patch-Job beendet.

Beispiele

gcloud compute os-config patch-jobs execute \
   --instance-filter-all \
   --rollout-mode=zone-by-zone \
   --rollout-disruption-budget=10

gcloud compute os-config patch-jobs execute \
   --instance-filter-all \
   --rollout-mode=concurrent-zones \
   --rollout-disruption-budget-percent=50

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "zones":[
      "us-central1-a",
      "us-central1-c",
      "us-central1-f"
    ]
  },
  "rollout": {
    "disruptionBudget": {
      "percent": 25
    },
    "mode": "CONCURRENT_ZONES"
  }
}

Patchen von Microsoft-Software auf Windows-VMs aktivieren

Wenn Sie einen Patch-Job auf Windows-VMs ausführen, wendet Patch standardmäßig nur die Patches für das Windows-Betriebssystem an.

Sie können Updates für Microsoft-Software wie Microsoft SQL Server, SharePoint Server oder .NET Framework anwenden, die auf Ihren Windows-VMs ausgeführt wird, wenn Sie einen Patch-Job ausführen. Standardmäßig ist das Patchen dieser Anwendungen deaktiviert, um Dienstunterbrechungen zu vermeiden und geplante Updates für diese Software zu trennen. Wenn Sie das Patchen von Microsoft-Software automatisch aktivieren möchten, können Sie entweder die Windows-Benutzeroberfläche oder PowerShell verwenden.

 $service_manager = New-Object -ComObject 'Microsoft.Update.ServiceManager'
 $service_manager.AddService2("7971f918-a847-4430-9279-4a52d1efe18d",7,"")

Debugging eines Patch-Jobs

Wenn Ihr Patch fehlschlägt, können Sie die folgenden Schritte ausführen, um die Probleme zu finden und zu beheben.

1. Sehen Sie sich die Instanzdetails für den betroffenen Patch-Job an. So können Sie ermitteln, welche Instanzen einen Fehler verursacht haben oder in welchem Status sie hängen geblieben sind. Die Liste der Instanzdetails enthält außerdem eine kurze Fehlermeldung für jede Instanz.

   Wenn ein Patch mit dem Status NO_AGENT_DETECTED oder TIMED_OUT fehlschlägt, bedeutet dies in der Regel, dass der Dienst eine Anfrage an den Agent gesendet hat, um mit dem Patching zu beginnen, aber keine Antwort vom Agent erhalten hat. Prüfen Sie die folgenden möglichen Ursachen und Lösungen:

   • Die Instanz wird nicht ausgeführt. Starten Sie die VM-Instanz, um dieses Problem zu beheben.
   • Prüfen Sie die Einrichtung mithilfe der Checkliste für die Bestätigung.
   • Die Netzwerkeinstellungen im VPC-Netzwerk oder der Instanz haben nicht zulassen, dass der OS Config-Agent mit der OS Config API kommuniziert. Prüfen Sie die Netzwerkeinstellungen, um das Problem zu beheben.

2. Wenn die Instanzdetails nicht genügend Informationen liefern, sehen Sie sich die Cloud Logging-Logs oder die serielle Port-Konsole an. Der OS Config-Agent schreibt seine Logeinträge in beide Speicherorte. In Cloud Logging können Sie mit der Patch-Job-ID filtern. So können Sie alle Logeinträge anzeigen, die sich auf diesen Patch-Job beziehen. Sie können auch das Debugging-Logging aktivieren. Legen Sie dazu auf der VM- oder Google Cloud-Projektebene den Metadatenwert osconfig-log-level=debug fest.

Nächste Schritte

• Weitere Informationen zu Patch.
• Patch-Jobs verwalten
• Patch-Jobs planen