Para gerenciar políticas do SO em projetos e zonas em grande escala, use o recurso de orquestrador de políticas no VM Manager. O orquestrador de políticas permite criar, atualizar e excluir atribuições de políticas do SO nos recursos de maneira iterativa para minimizar erros. Também é possível monitorar o status geral de lançamento das atribuições de política do SO na sua organização e nas pastas. Se houver atribuições com falha, você poderá editar ou excluir o orquestrador de políticas.
Para usar esse recurso, você precisa conhecer as políticas do SO e as atribuições de política do SO.
Casos de uso
Você pode usar o Policy Orchestrator para realizar estas tarefas comuns:
Aplicar políticas em toda a organização
Use o orquestrador de políticas para aplicar gradualmente as mudanças na política do SO em vários projetos e zonas da sua organização. O exemplo a seguir descreve um caso de uso típico de um orquestrador de políticas.
Você quer aplicar políticas do SO a VMs em alguns projetos na pasta F1 da sua organização. Considere dois projetos de teste P1 e P2 na pasta F1. Para aplicar as políticas do SO nesses dois projetos, faça o seguinte:
- Crie um orquestrador de políticas do SO na pasta F1 e defina o escopo do orquestrador como P1 e P2.
- Se a orquestração for bem-sucedida, expanda o escopo da orquestração adicionando mais projetos em várias etapas graduais. Também é possível desativar o filtro de escopo completamente para implantar mudanças em todos os projetos na pasta F1.
Criar políticas automaticamente em novos projetos e zonas
Quando o Google disponibiliza novos Google Cloud locais ou se você cria ou move Google Cloud projetos na sua organização, o orquestrador de políticas detecta essas mudanças automaticamente e, eventualmente, aplica políticas em novos locais e projetos. Também é possível definir o escopo da orquestração e aplicar mudanças a projetos e recursos específicos.
Os proprietários de projetos individuais podem remover ou modificar as políticas criadas pelo orquestrador, mas o orquestrador de políticas insere ou atualiza as políticas na iteração seguinte.
Como funciona
Ao criar um orquestrador de políticas, é possível especificar um arquivo de política do SO existente e o escopo da orquestração. Em seguida, o orquestrador de políticas aplica a política do SO aos recursos de forma iterativa. Em cada iteração, o orquestrador de políticas identifica os recursos no escopo da orquestração e executa a ação solicitada nesses recursos.
É possível definir o escopo de orquestração selecionando os projetos e as zonas nas seguintes opções:
- Todos os Google Cloud projetos em uma hierarquia de recursos definida pelo pai do recurso de orquestrador de políticas específico.
- A lista de todas as zonas disponíveis.
Cada orquestrador de políticas pode realizar uma das seguintes ações:
- Criar ou atualizar (inserir e atualizar) uma política de SO
- Excluir uma política do SO
Além do tipo de ação, o orquestrador de políticas contém um ID de política e um payload de política. Para cada par de projeto-zona do escopo de orquestração, o orquestrador de políticas cria um recurso específico para o payload da política e o ID de política fornecido. Para excluir atribuições de política do SO usando o orquestrador de políticas, especifique esse ID de política.
A seguir
- Saiba mais sobre os pré-requisitos para usar o Policy Orchestrator.
- Saiba como gerenciar atribuições de políticas do SO usando o orquestrador de políticas.