Per gestire i criteri del sistema operativo su larga scala in progetti e zone, utilizza la funzionalità di orchestrazione dei criteri in VM Manager. L'agente di orchestrazione delle policy consente di creare, aggiornare ed eliminare le assegnazioni delle policy del sistema operativo nelle risorse in modo iterativo per ridurre al minimo gli errori. Puoi anche monitorare lo stato di implementazione complessivo delle assegnazioni dei criteri del sistema operativo nella tua organizzazione e nelle tue cartelle. Se esistono compiti non riusciti, puoi scegliere di modificare o eliminare l'agente di orchestrazione delle norme.
Per utilizzare questa funzionalità, devi conoscere i criteri del sistema operativo e le relative assegnazioni.
Casi d'uso
Puoi utilizzare l'orchestratore dei criteri per eseguire queste attività comuni:
- Applicare i criteri all'intera organizzazione
- Creare automaticamente criteri in nuovi progetti e zone
Applicare i criteri all'intera organizzazione
Utilizza l'agente di orchestrazione delle policy per applicare gradualmente le modifiche ai criteri del sistema operativo a più progetti e zone della tua organizzazione. L'esempio seguente descrive un caso d'uso tipico di un orchestratore di norme.
Vuoi applicare i criteri del sistema operativo alle VM in alcuni progetti nella cartella F1 della tua organizzazione. Considera due progetti di test P1 e P2 nella cartella F1. Per applicare i criteri del sistema operativo a questi due progetti:
- Crea un agente di orchestrazione delle policy del sistema operativo nella cartella F1 e impostane l'ambito su P1 e P2.
- Se l'orchestrazione va a buon fine, espandi l'ambito dell'orchestrazione aggiungendo altri progetti in più passaggi graduali. Puoi anche disattivare completamente il filtro ambito per implementare le modifiche su tutti i progetti della cartella F1.
Creare automaticamente criteri in nuovi progetti e nuove zone
Quando Google rende disponibili nuove località Google Cloud o se crei o muovi progetti Google Cloud nella tua organizzazione, l'orchestratore dei criteri rileva automaticamente queste modifiche e, alla fine, applica i criteri in nuove località e progetti. Puoi anche definire l'ambito dell'orchestrazione e applicare modifiche a progetti e risorse specifici.
Tieni presente che i singoli proprietari di progetti possono rimuovere o modificare i criteri creati dall'orchestratore, ma l'orchestratore delle policy li inserisce o li aggiorna nell'iterazione successiva.
Come funziona
Quando crei un orchestratore di criteri, puoi specificare un file di criteri del sistema operativo esistente e l'ambito dell'orchestrazione. L'agente di orchestrazione delle policy applica quindi la policy del sistema operativo alle tue risorse in modo iterativo. In ogni iterazione, l'orchestratore dei criteri identifica le risorse nell'ambito dell'orchestrazione ed esegue l'azione richiesta su queste risorse.
Puoi definire l'ambito di orchestrazione selezionando i progetti e le zone tra le seguenti opzioni:
- Tutti i progetti Google Cloud in una gerarchia delle risorse definita dalla risorsa padre dell'orchestratore dei criteri in questione.
- L'elenco di tutte le zone disponibili.
Ogni orchestratore di criteri può eseguire una delle seguenti azioni:
- Crea o aggiorna (upsert) un criterio del sistema operativo esistente
- Eliminare un criterio del sistema operativo
Oltre al tipo di azione, l'agente di orchestrazione delle norme contiene un ID e un payload delle norme. Per ogni coppia di progetto e zona nell'ambito dell'orchestrazione, l'orchestratore delle norme crea una risorsa specifica per il caricamento delle norme e per l'ID norma specificato. Per eliminare le assegnazioni dei criteri del sistema operativo utilizzando l'agente di orchestrazione delle policy, devi specificare questo ID criterio.
Passaggi successivi
- Scopri i prerequisiti per utilizzare l'orchestratore delle norme.
- Scopri come gestire le assegnazioni dei criteri del sistema operativo utilizzando l'agente di orchestrazione delle policy.