ポリシー オーケストレーターについて

プロジェクトとゾーン全体で OS ポリシーを大規模に管理するには、VM Manager のポリシー オーケストレーター機能を使用してください。ポリシー オーケストレーターを使用すると、リソース内の OS ポリシーの割り当てを反復処理で作成、更新、削除し、エラーを最小限に抑えることができます。組織とフォルダ内の OS ポリシーの割り当ての全体的なロールアウト ステータスをモニタリングすることもできます。失敗した割り当てがある場合は、ポリシー オーケストレーターを編集または削除できます。

この機能を使用するには、OS ポリシーと OS ポリシーの割り当てについて理解している必要があります。

ユースケース

ポリシー オーケストレーターを使用すると、次の一般的なタスクを実行できます。

組織全体にポリシーを適用する

ポリシー オーケストレーターを使用して、組織内の複数のプロジェクトとゾーンに OS ポリシーの変更を段階的に適用します。次の例は、ポリシー オーケストレーターの一般的なユースケースを示しています。

組織のフォルダ F1 にあるいくつかのプロジェクトの VM に OS ポリシーを適用します。フォルダ F1 にある 2 つのテスト プロジェクト P1 と P2 について考えてみましょう。これらの 2 つのプロジェクトに OS ポリシーを適用する手順は次のとおりです。

  1. フォルダ F1 に OS ポリシー オーケストレーターを作成し、オーケストレーター スコープを P1 と P2 に設定します。
  2. オーケストレーションが成功したら、複数の段階的なステップでプロジェクトを追加して、オーケストレーション スコープを拡大します。スコープ フィルタを完全に無効にして、フォルダ F1 内のすべてのプロジェクトに変更をロールアウトすることもできます。

新しいプロジェクトとゾーンにポリシーを自動的に作成する

Google が新しい Google Cloud ロケーションを利用できるようになった場合、または組織内でプロジェクトを作成または移動した場合、ポリシー オーケストレーターはこれらの変更を自動的に検出し、最終的に新しいロケーションとプロジェクトにポリシーを適用します。 Google Cloud オーケストレーションのスコープを定義し、特定のプロジェクトとリソースに変更を適用することもできます。

個々のプロジェクト オーナーはオーケストレーターによって作成されたポリシーを削除または変更できますが、ポリシー オーケストレーターは次の反復処理でポリシーを挿入または更新します。

仕組み

ポリシー オーケストレーターを作成するときに、既存の OS ポリシー ファイルとオーケストレーションのスコープを指定できます。ポリシー オーケストレーターは、OS ポリシーをリソースに反復的に適用します。各反復処理で、ポリシー オーケストレーターはオーケストレーションのスコープ内のリソースを特定し、これらのリソースに対してリクエストされたアクションを実行します。

次のオプションからプロジェクトとゾーンを選択して、オーケストレーション スコープを定義できます。

  • 特定のポリシー オーケストレーター リソースの親によって定義されたリソース階層内のすべてのプロジェクト。 Google Cloud
  • 使用可能なすべてのゾーンのリスト。

各ポリシー オーケストレーターは、次のいずれかのアクションを実行できます。

  • 既存の OS ポリシーを作成または更新(アップサート)する
  • OS ポリシーを削除する

ポリシー オーケストレーターには、アクション タイプに加えて、ポリシー ID とポリシー ペイロードが含まれています。オーケストレーション スコープのプロジェクトとゾーンのペアごとに、ポリシー オーケストレーターはポリシー ペイロードと指定されたポリシー ID に固有のリソースを作成します。ポリシー オーケストレーターを使用してOS ポリシーの割り当てを削除するには、このポリシー ID を指定する必要があります。

次のステップ