Para gerenciar políticas do SO em projetos e zonas em grande escala, use o recurso de orquestrador de políticas no VM Manager. O orquestrador de políticas permite criar, atualizar e excluir atribuições de políticas do SO nos recursos de maneira iterativa para minimizar erros. Também é possível monitorar o status geral de lançamento das atribuições de política do SO na sua organização e nas pastas. Se houver atribuições com falha, você poderá editar ou excluir o orquestrador de políticas.
Para usar esse recurso, você precisa conhecer as políticas do SO e as atribuições de política do SO.
Casos de uso
Você pode usar o Policy Orchestrator para realizar estas tarefas comuns:
Aplicar políticas em toda a organização
Use o orquestrador de políticas para aplicar gradualmente as mudanças na política do SO em vários projetos e zonas da sua organização. O exemplo a seguir descreve um caso de uso típico de um orquestrador de políticas.
Você quer aplicar políticas do SO a VMs em alguns projetos na pasta F1 da sua organização. Considere dois projetos de teste P1 e P2 na pasta F1. Para aplicar as políticas do SO nesses dois projetos, faça o seguinte:
- Crie um orquestrador de políticas do SO na pasta F1 e defina o escopo do orquestrador como P1 e P2.
- Se a orquestração for bem-sucedida, expanda o escopo dela adicionando mais projetos em várias etapas graduais. Também é possível desativar o filtro de escopo completamente para lançar mudanças em todos os projetos da pasta F1.
Criar políticas automaticamente em novos projetos e zonas
Quando o Google disponibiliza novos locais do Google Cloud ou se você cria ou move projetos do Google Cloud na sua organização, o orquestrador de políticas detecta essas mudanças automaticamente e, eventualmente, aplica políticas em novos locais e projetos. Também é possível definir o escopo da orquestração e aplicar mudanças a projetos e recursos específicos.
Os proprietários de projetos individuais podem remover ou modificar as políticas criadas pelo orquestrador, mas ele insere ou atualiza as políticas na iteração seguinte.
Como funciona
Ao criar um orquestrador de políticas, é possível especificar um arquivo de política do SO existente e o escopo da orquestração. O orquestrador de políticas aplica a política do SO aos recursos de forma iterativa. Em cada iteração, o orquestrador de políticas identifica os recursos no escopo da orquestração e executa a ação solicitada nesses recursos.
É possível definir o escopo de orquestração selecionando os projetos e as zonas nas seguintes opções:
- Todos os projetos do Google Cloud em uma hierarquia de recursos definida pelo pai do recurso de orquestrador de políticas específico.
- A lista de todas as zonas disponíveis.
Cada orquestrador de políticas pode realizar uma das seguintes ações:
- Criar ou atualizar (inserir e atualizar) uma política de SO
- Excluir uma política de SO
Além do tipo de ação, o orquestrador de políticas contém um ID de política e um payload de política. Para cada par de projeto-zona do escopo de orquestração, o orquestrador de políticas cria um recurso específico para o payload da política e o ID de política fornecido. Para excluir atribuições de política do SO usando o orquestrador de políticas, especifique esse ID.
A seguir
- Saiba mais sobre os pré-requisitos para usar o Policy Orchestrator.
- Saiba como gerenciar atribuições de políticas do SO usando o Policy Orchestrator.