管理操作系统政策分配

创建操作系统政策分配任务后,请按以下步骤查看和管理您的分配任务:

您可以使用 Google Cloud 控制台Google Cloud CLIOS Config API 管理操作系统政策分配。

准备工作

  • 查看 OS Config 配额
  • 如果您尚未设置身份验证,请进行设置。身份验证是通过其进行身份验证以访问 Google Cloud 服务和 API 的过程。如需从本地开发环境运行代码或示例,您可以选择以下任一选项向 Compute Engine 进行身份验证:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭据。

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证

权限

项目的所有者拥有管理操作系统政策分配的完整访问权限。对于所有其他用户,您需要为其授予权限。如需管理操作系统政策分配,您可以授予以下其中一种精细角色:

  • OSPolicyAssignment Admin (roles/osconfig.osPolicyAssignmentAdmin)。包含创建、删除、更新、获取和列出操作系统政策分配的权限。
  • OSPolicyAssignment Editor (roles/osconfig.osPolicyAssignmentEditor)。包含更新、获取和列出操作系统政策分配的权限。
  • OSPolicyAssignment Viewer (roles/osconfig.osPolicyAssignmentViewer)。包含获取和列出操作系统政策分配所需的只读权限。

用于设置权限的示例命令

如需向用户管理员授予对操作系统政策分配的访问权限,请运行以下命令:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

替换以下内容:

  • PROJECT_ID:项目 ID
  • USER_ID:用户的 Google Workspace 用户名。

更新操作系统政策分配任务

如需更新操作系统政策分配任务,请完成以下步骤:

  1. 更新包含操作系统政策分配任务的 YAML 或 JSON 文件。

    更新请求支持使用字段掩码。在更新其他字段时,您可能只需要更新操作系统政策分配任务中的某些字段。update 或 patch 命令使用字段掩码来告知 API 更改了哪些字段。更新或修补请求会忽略字段掩码中未指定的任何字段,并使用其当前值。 如需详细了解字段掩码,请参阅 FieldMask

  2. 使用 Google Cloud 控制台、Google Cloud CLI 或 OS Config API 更新操作系统政策分配。

    更新操作系统政策分配任务时,系统会创建发布。您可以通过监控发布来查看更新的进度。如需了解详情,请参阅获取发布详情

    控制台

    1. 在 Google Cloud 控制台中,依次前往操作系统政策 > 分配页面。

      转到 Google Cloud 控制台

    2. 对于要修改的操作系统政策分配,请点击操作 ()> 修改分配

    3. 进行所需的更新。例如,您可以上传更新后的操作系统政策文件。

    4. 点击开始发布

    gcloud

    使用 os-config os-policy-assignments update 命令更新操作系统政策分配任务。

    gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
        --location=ZONE \
        --file=FILE
    

    请替换以下内容:

    • OS_POLICY_ASSIGNMENT_ID:您要更新的操作系统政策分配任务的名称
    • ZONE:操作系统政策分配任务所在的可用区
    • FILE:包含更新后的操作系统政策分配任务规范的 JSON 或 YAML 文件的绝对路径

      如果不存在操作系统政策分配,且您指定了 --allow-missing 标志,则虚拟机管理器会创建具有指定 ID 和规范的操作系统政策分配。

    REST

    在 API 中,创建对 projects.locations.osPolicyAssignments.patch 方法PATCH 请求。

    PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
    
    {
     JSON_OS_POLICY
    }
    

    请替换以下内容:

    • PROJECT_ID:您的项目 ID
    • OS_POLICY_ASSIGNMENT_ID:您要更新的操作系统政策分配任务的名称
    • JSON_OS_POLICY:上一步中创建的操作系统政策分配任务规范。此文件必须采用 JSON 格式。 如需详细了解参数和格式,请参阅 Resource: OSPolicyAssignment
    • ZONE:操作系统政策分配任务所在的可用区

列出操作系统政策分配任务

控制台

  1. 在 Google Cloud 控制台中,依次前往操作系统政策 > 分配页面。

    转到 Google Cloud 控制台

gcloud

如需查看特定可用区中的操作系统政策分配列表,请使用 os-config os-policy-assignments list 命令

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

ZONE 替换为操作系统政策分配任务所在的可用区。

REST

在 API 中,创建对 projects.locations.osPolicyAssignments.list 方法GET 请求。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments

请替换以下内容:

  • PROJECT_ID:您的项目 ID
  • ZONE:操作系统政策分配所在的可用区

描述操作系统政策分配任务

控制台

  1. 在 Google Cloud 控制台中,依次前往操作系统政策 > 分配页面。

    转到 Google Cloud 控制台

  2. 点击要查看其详细信息的分配任务的名称。

gcloud

如需查看与操作系统政策分配任务相关的详细信息,请使用 compute os-config os-policy-assignments describe 命令

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

请替换以下内容:

  • OS_POLICY_ASSIGNMENT_ID:您要查看的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

REST

在 API 中,创建对 projects.locations.osPolicyAssignments.get 方法GET 请求。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

请替换以下内容:

  • PROJECT_ID:您的项目 ID
  • OS_POLICY_ASSIGNMENT_ID:您要查看的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

列出操作系统政策分配任务修订版本

gcloud

系统会在您创建操作系统政策分配任务时生成修订版本 ID。每次您更新或删除操作系统政策分配任务时,系统都会生成新的修订版本 ID。

如需查看可用于操作系统政策分配任务的修订版本列表,请使用 os-config os-policy-assignments list-revisions 命令

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

请替换以下内容:

  • OS_POLICY_ASSIGNMENT_ID:您要查看其修订版本的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

REST

在 API 中,创建对 projects.locations.osPolicyAssignments.listRevisions 方法GET 请求。

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

请替换以下内容:

  • PROJECT_ID:您的项目 ID
  • OS_POLICY_ASSIGNMENT_ID:您要查看其修订版本的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

删除操作系统政策分配任务

删除操作系统政策分配任务时,系统会创建发布。您可以通过监控发布来查看删除的进度。如需了解详情,请参阅获取发布详情

控制台

  1. 在 Google Cloud 控制台中,依次前往操作系统政策 > 分配页面。

    转到 Google Cloud 控制台

  2. 对于要删除的操作系统政策分配,请点击操作 () > 删除分配

  3. 点击删除

gcloud

如需删除操作系统政策分配任务,请使用 os-config os-policy-assignments delete 命令

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

请替换以下内容:

  • OS_POLICY_ASSIGNMENT_ID:您要删除的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

REST

在 API 中,创建对 projects.locations.osPolicyAssignments.delete 方法DELETE 请求。

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/OSPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

请替换以下内容:

  • PROJECT_ID:您的项目 ID
  • OS_POLICY_ASSIGNMENT_ID:您要删除的操作系统政策分配任务的名称
  • ZONE:操作系统政策分配任务所在的可用区

问题排查

如需排查操作系统政策分配问题,请参阅虚拟机管理器问题排查

后续步骤