Per gestire le policy del sistema operativo in progetti e zone su larga scala, utilizza la funzionalità di agente di orchestrazione delle policy in VM Manager. L'agente di orchestrazione delle policy consente di creare, aggiornare ed eliminare le assegnazioni delle policy del sistema operativo nelle risorse in modo iterativo per ridurre al minimo gli errori. Puoi anche monitorare lo stato di implementazione complessivo delle assegnazioni dei criteri di sistema operativo nell'organizzazione e nelle cartelle. Se esistono compiti non riusciti, puoi scegliere di modificare o eliminare l'agente di orchestrazione delle norme.
Per utilizzare questa funzionalità, devi conoscere le norme del sistema operativo e le relative assegnazioni.
Casi d'uso
Puoi utilizzare l'agente di orchestrazione delle policy per eseguire queste attività comuni:
- Applicare i criteri all'intera organizzazione
- Creare automaticamente criteri in nuovi progetti e zone
Applicare i criteri all'intera organizzazione
Utilizza l'agente di orchestrazione delle policy per applicare gradualmente le modifiche alle policy del sistema operativo in più progetti e zone della tua organizzazione. L'esempio seguente descrive un caso d'uso tipico di un orchestratore di norme.
Vuoi applicare le policy del sistema operativo alle VM in alcuni progetti nella cartella F1 della tua organizzazione. Considera due progetti di test P1 e P2 nella cartella F1. Per applicare le norme del sistema operativo a questi due progetti:
- Crea un agente di orchestrazione delle policy del sistema operativo nella cartella F1 e impostane l'ambito su P1 e P2.
- Se l'orchestrazione va a buon fine, espandi l'ambito dell'orchestrazione aggiungendo altri progetti in più passaggi graduali. Puoi anche disattivare completamente il filtro ambito per implementare le modifiche su tutti i progetti nella cartella F1.
Creare automaticamente criteri in nuovi progetti e nuove zone
Quando Google rende disponibili nuove Google Cloud località o se crei o muovi Google Cloud progetti nella tua organizzazione, l'orchestratore dei criteri scopre automaticamente queste modifiche e, alla fine, applica i criteri in nuove località e progetti. Puoi anche definire l'ambito dell'orchestrazione e applicare modifiche a progetti e risorse specifici.
Tieni presente che i singoli proprietari di progetti possono rimuovere o modificare i criteri creati dall'orchestratore, ma l'orchestratore delle policy li inserisce o li aggiorna nell'iterazione successiva.
Come funziona
Quando crei un orchestratore di criteri, puoi specificare un file di criteri del sistema operativo esistente e l'ambito dell'orchestrazione. L'agente di orchestrazione delle policy applica quindi la policy del sistema operativo alle tue risorse in modo iterativo. In ogni iterazione, l'orchestratore dei criteri identifica le risorse nell'ambito dell'orchestrazione ed esegue l'azione richiesta su queste risorse.
Puoi definire l'ambito di orchestrazione selezionando i progetti e le zone tra le seguenti opzioni:
- Tutti i Google Cloud progetti in una gerarchia di risorse definita dalla risorsa padre dell'orchestratore dei criteri in questione.
- L'elenco di tutte le zone disponibili.
Ogni orchestratore di criteri può eseguire una delle seguenti azioni:
- Crea o aggiorna (upsert) un criterio del sistema operativo esistente
- Eliminare un criterio del sistema operativo
Oltre al tipo di azione, l'agente di orchestrazione delle norme contiene un ID e un payload delle norme. Per ogni coppia di progetto e zona nell'ambito dell'orchestrazione, l'orchestratore delle norme crea una risorsa specifica per il caricamento delle norme e per l'ID norma specificato. Per eliminare le assegnazioni dei criteri del sistema operativo utilizzando l'agente di orchestrazione delle policy, devi specificare questo ID criterio.
Passaggi successivi
- Scopri i prerequisiti per l'utilizzo dell'agente di orchestrazione delle norme.
- Scopri come gestire le assegnazioni delle policy del sistema operativo utilizzando l'agente di orchestrazione delle policy.