Setelah VM Manager menerapkan penetapan kebijakan OS ke instance virtual machine (VM), laporan penetapan kebijakan OS akan dibuat. Laporan ini berisi status kepatuhan semua kebijakan OS yang diterapkan ke VM tertentu untuk penetapan kebijakan OS tertentu.
Dokumen ini menjelaskan tugas-tugas berikut:
- Melihat laporan kepatuhan kebijakan OS untuk semua VM dalam organisasi atau folder.
- Melihat laporan penetapan kebijakan OS untuk semua VM di zona tertentu. Laporan ini berguna untuk memberikan ringkasan status kepatuhan di zona tertentu. Lihat Melihat laporan penetapan kebijakan OS.
- Meninjau penetapan kebijakan OS untuk VM tertentu. Informasi ini berguna saat meninjau status kepatuhan untuk VM tertentu. Lihat Meninjau laporan penetapan kebijakan OS.
Sebelum memulai
- Tinjau kuota OS Config.
-
Jika Anda belum melakukannya, siapkan autentikasi.
Authentication adalah
proses yang digunakan untuk memverifikasi identitas Anda agar dapat mengakses layanan dan API Google Cloud.
Untuk menjalankan kode atau sampel dari lingkungan pengembangan lokal, Anda dapat mengautentikasi ke
Compute Engine sebagai berikut.
Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
Konsol
Saat menggunakan Konsol Google Cloud untuk mengakses API dan layanan Google Cloud, Anda tidak perlu menyiapkan autentikasi.
gcloud
-
Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
gcloud init
- Menetapkan region dan zona default.
REST
Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.
Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
gcloud init
-
Peran dan izin yang diperlukan
Untuk mendapatkan izin akses yang Anda butuhkan untuk melihat data kepatuhan kebijakan OS, minta administrator untuk memberi Anda peran IAM berikut:
-
Lihat ringkasan kepatuhan kebijakan OS untuk VM di organisasi atau folder:
-
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer
) di organisasi atau folder -
OSPolicyAssignment Viewer (
roles/osconfig.osPolicyAssignmentViewer
) di organisasi atau folder
-
OSPolicyAssignmentReport Viewer (
-
Melihat laporan penetapan kebijakan OS untuk VM dalam sebuah project:
OSPolicyAssignmentReport Viewer (
roles/osconfig.osPolicyAssignmentReportViewer
) pada proyek
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk melihat data kepatuhan kebijakan OS. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk melihat data kepatuhan kebijakan OS:
-
Lihat ringkasan kepatuhan kebijakan OS untuk VM di organisasi atau folder:
-
osconfig.osPolicyAssignmentReports.searchSummaries
-
osconfig.osPolicyAssignments.searchPolicies
-
resourcemanager.projects.get
-
resourcemanager.projects.list
-
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder
Anda dapat melihat ringkasan kepatuhan kebijakan OS untuk semua VM di organisasi atau folder menggunakan konsol Google Cloud.
VM Manager menampilkan ringkasan kepatuhan kebijakan OS hanya untuk project yang memenuhi salah satu persyaratan berikut:
- Berisi satu atau beberapa VM tempat VM Manager diaktifkan dan dijalankan.
- Berisi satu atau beberapa VM yang menjalankan VM Manager dalam 7 hari terakhir dan menyediakan data kepatuhan kebijakan OS.
Untuk melihat data kepatuhan kebijakan OS, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Compute Engine > VM Manager > OS policies.
Dalam menu drop-down project di bagian atas konsol Google Cloud, pilih organisasi atau folder tempat Anda ingin melihat ringkasan kepatuhan kebijakan OS.
Gunakan opsi berikut untuk melihat data kepatuhan kebijakan OS:
- Untuk melihat ringkasan kepatuhan kebijakan OS per project, klik tab Projects.
- Untuk melihat ringkasan kepatuhan kebijakan OS per kebijakan, klik tab OS policies.
Opsional: Tentukan kriteria untuk menghitung ringkasan kepatuhan kebijakan OS dengan menggunakan query builder.
Meninjau ringkasan kepatuhan kebijakan OS untuk VM. Tabel di tab Projects berisi satu baris untuk setiap project seperti yang ditampilkan dalam gambar berikut:
Tabel ini mencantumkan informasi berikut yang memenuhi kriteria yang telah Anda tentukan di query builder:
- Project: Nama project dalam organisasi yang berisi setidaknya satu VM dan mengaktifkan VM Manager.
- Total VMs: Jumlah total VM di setiap project.
- Monitored VMs: Jumlah VM dalam project yang mengaktifkan agen VM Manager dan sedang dipindai untuk memeriksa kepatuhannya terhadap kebijakan.
- VMs with policy: Jumlah VM yang memiliki minimal satu kebijakan.
- Compliant: Jumlah VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagai
COMPLIANT
. - Non compliant: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai
NON-COMPLIANT
. - Unknown: Jumlah VM dengan minimal satu kebijakan yang telah ditetapkan dan dilaporkan sebagai
UNKNOWN
, dan tidak ada kebijakan yang dilaporkan sebagaiNON-COMPLIANT
. StatusUNKNOWN
disebabkan oleh salah satu alasan berikut:- VM tidak berjalan.
- Agen VM Manager tidak diaktifkan untuk VM.
- Terjadi error selama proses berlangsung.
- No report: Jumlah VM dengan kebijakan yang telah ditetapkan, tetapi tidak ditemukan laporan kepatuhan kebijakan karena salah satu alasan berikut:
- Agen VM Manager tidak diaktifkan untuk VM.
- Pemindaian kepatuhan sedang berlangsung. Laporan belum siap.
Opsional: Terapkan filter tabel jika Anda ingin melihat baris tertentu di tabel ringkasan kepatuhan kebijakan OS.
Misalnya, jika Anda ingin melihat ringkasan kepatuhan kebijakan OS untuk project yang memiliki lebih dari 10 VM, tetapkan opsi filter Total VMs ke
>= 10
.Opsional: Klik jumlah VM untuk melihat detail selengkapnya tentang VM dalam status tertentu. Misalnya, mengklik jumlah VM untuk project tertentu di kolom Unknown akan membuka tab VM instances dengan daftar kebijakan OS yang tidak diketahui untuk setiap VM dalam project tersebut.
Untuk informasi selengkapnya, lihat Melihat laporan penetapan kebijakan OS.
Menggunakan query builder untuk memfilter data kepatuhan kebijakan OS
Berdasarkan kriteria yang Anda tentukan dalam query builder, VM Manager menampilkan data kepatuhan kebijakan OS untuk VM dalam project di organisasi atau folder Anda. Selanjutnya, Anda dapat menggunakan filter tabel di tabel kepatuhan kebijakan OS untuk memfilter data yang ditampilkan.
Misalnya, saat Anda menetapkan atribut OS
di Query builder sebagai Debian
, VM Manager akan menampilkan data kepatuhan kebijakan OS untuk VM dengan Debian OS.
Jika Anda ingin melihat data kepatuhan untuk project tertentu, gunakan
filter tabel untuk menentukan project ID.
Untuk menetapkan kueri dalam query builder di tab Projects, lakukan hal berikut:
Pilih sebuah Atribut. Query builder mendukung atribut berikut:
- OS: Menentukan nama pendek sistem operasi, seperti
Windows
atauDebian
. - OS versions: Menentukan versi sistem operasi. Misalnya,
21.04
atau10.0.22000
. Anda dapat menentukan satu tanda bintang (*
) di akhir string versi OS untuk menunjukkan kecocokan parsial, misalnya10*
. - VM running: Menentukan apakah Anda ingin melihat ringkasan patch untuk VM yang ada dalam status
RUNNING
atau tidak. - Policy fingerprint: Menentukan sidik jari kebijakan unik untuk kebijakan OS. Saat Anda menetapkan atribut ini, VM Manager hanya menghitung ringkasan kepatuhan untuk kebijakan OS yang memiliki sidik jari yang telah ditentukan.
- Compliance state: Menentukan salah satu status kepatuhan untuk kebijakan:
COMPLIANT
: VM dengan semua kebijakan yang telah ditetapkan dan dilaporkan sebagaiCOMPLIANT
NON-COMPLIANT
: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagaiNON-COMPLIANT
UNKNOWN
: VM dengan setidaknya satu kebijakan yang telah ditetapkan dan dilaporkan sebagaiUNKNOWN
- OS: Menentukan nama pendek sistem operasi, seperti
Pilih salah satu atribut dan tentukan nilai untuk atribut tersebut. Misalnya, jika Anda ingin melihat ringkasan patch untuk VM dengan sistem operasi tertentu, pilih OS. Anda kemudian mendapatkan daftar operator perbandingan untuk dipilih.
- Pilih Operator, misalnya,
==
. - Di kolom Value, tentukan nilai perbandingan. Contoh
Debian
.
- Pilih Operator, misalnya,
Untuk menambahkan atribut lain, klik Add condition.
Klik Search.
Melihat laporan penetapan kebijakan OS
Untuk melihat laporan penetapan kebijakan OS, Anda dapat menggunakan konsol Google Cloud, Google Cloud CLI, atau REST.
Gunakan prosedur ini untuk melihat daftar laporan penetapan kebijakan OS untuk lokasi yang ditentukan.
Konsol
Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan Anda, menambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk selengkapnya lihat Layanan yang dapat diakses VPC.
Di konsol Google Cloud, buka halaman OS policies > VM instances.
gcloud
Untuk melihat daftar laporan penetapan kebijakan OS, gunakan perintah os-config os-policy-assignment-reports list
.
Untuk melihat semua laporan penetapan kebijakan OS untuk lokasi tertentu, jalankan perintah berikut. Ganti ZONE
dengan zona tempat VM berada.
gcloud compute os-config os-policy-assignment-reports list --location=ZONE
Contoh perintah dan output (semua VM)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant centos7 my-test-assignment2 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant rhel-8 my-test-assignment2 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant deb-10 my-test-assignment2 us-central1-a 2021-11-02T19:00:11.777748Z 0/1 policies compliant windows my-test-assignment2 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant windows my-test-assignment3 us-central1-a 2021-11-02T18:24:07.935711Z 0/1 policies compliant sles15 my-test-assignment2 us-central1-a 2021-11-02T18:38:07.335276Z 0/1 policies compliant
Anda juga dapat menggunakan flag opsional, seperti --instance
atau --assignment-id
, untuk memfilter hasil.
gcloud compute os-config os-policy-assignment-reports list --location=ZONE \ [--instance=VM_NAME | --assignment-id=ASSIGNMENT_ID]
Ganti kode berikut:
ZONE
: zona tempat VM berada- Opsional: memberikan salah satu kode berikut:
VM_NAME
: nama atau ID VM yang laporan penetapan kebijakan OS-nya ingin Anda lihatASSIGNMENT_ID
: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya
Contoh perintah dan output (VM tertentu)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --instance=my-centos INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant my-centos my-test-assignment2 us-central1-a 2021-11-02T18:14:37.418883Z 0/1 policies compliant
Contoh perintah dan output (penetapan tertentu)
gcloud compute os-config os-policy-assignment-reports list --location=us-central1-a \ --assignment-id=my-test-assignment1 INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY centos7 my-test-assignment1 us-central1-a 2021-11-02T18:14:03.908341Z 0/1 policies compliant rhel-8 my-test-assignment1 us-central1-a 2021-11-02T19:13:28.468290Z 0/1 policies compliant my-centos my-test-assignment1 us-central1-a 2021-11-02T18:14:37.418883Z 1/1 policies compliant
REST
Di API, buat permintaan GET
ke metode projects.locations.osPolicyAssignments.reports.list
.
GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Ganti kode berikut:
PROJECT_ID
: Project ID Anda.ZONE
: zona tempat VM berada- Opsional. Berikan salah satu kode berikut:
VM_NAME
: nama atau ID VM yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan-
untuk nilainya.ASSIGNMENT_ID
: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya. Jika tidak diperlukan, gunakan-
untuk nilainya.
Contoh:
- Untuk melihat laporan semua VM dalam project
my-project-12345
dan zonaus-central1-a
, gunakan URI berikut:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/-/report
- Untuk melihat laporan VM
my-test-vm
dalam projectmy-project-12345
dan berada di zonaus-central1-a
, gunakan URI berikut:projects/my-project-12345/locations/us-central1-a/instances/my-test-vm/osPolicyAssignments/-/report
- Untuk melihat laporan semua VM di project
my-project-12345
dan zonaus-central1-a
yang memiliki penetapan kebijakan OSmy-test-assignment
, gunakan URI berikut:projects/my-project-12345/locations/us-central1-a/instances/-/osPolicyAssignments/my-test-assignment/report
Meninjau laporan penetapan kebijakan OS
Gunakan prosedur ini untuk mendapatkan tampilan mendetail dari laporan penetapan kebijakan OS yang terkait dengan VM tertentu.
Konsol
Jika Anda menggunakan Kontrol Layanan VPC untuk melindungi layanan Anda, menambahkan layanan Inventaris Aset Cloud ke daftar layanan yang diizinkan. Untuk selengkapnya lihat Layanan yang dapat diakses VPC.
Di konsol Google Cloud, buka halaman OS policies > VM instances.
Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, klik nama VM tersebut.
Tinjau kolom State, State reason, dan Logs. Kolom Logs menyediakan link ke dasbor Cloud Logging tempat Anda dapat mengakses log debug untuk agen OS Config yang berjalan di VM.
- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
bagian
ComplianceState
dalam dokumentasi referensi API. - Untuk informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau
Kolom
complianceStateReason
diOSPolicyResourceCompliance
dokumentasi referensi API.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.
- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
bagian
gcloud
Untuk melihat laporan penetapan kebijakan OS untuk VM tertentu, gunakan perintah
os-config os-policy-assignment-reports describe
.gcloud compute os-config os-policy-assignment-reports describe OS_POLICY_ASSIGNMENT_ID \ --instance=VM_NAME \ --location=ZONE
Ganti kode berikut:
OS_POLICY_ASSIGNMENT_ID
: ID penetapan kebijakan OS yang ingin Anda tinjau untuk VM tertentuVM_NAME
: nama atau ID VM yang Anda inginkan untuk melihat laporan penetapan kebijakan OS bagiZONE
: zona tempat VM berada
Contoh
gcloud compute os-config os-policy-assignment-reports describe my-test-assignment1 \ --instance=centos7 \ --location=us-central1-a
Output
instance: centos7 lastRunId: 96a61b92-3e14-4155-a3e8-dd66520f49ae name: projects/1234578882888/locations/us-central1-a/instances/29255009728795105/osPolicyAssignments/my-test-assignment1/report osPolicyAssignment: projects/1234578882888/locations/us-central1-a/osPolicyAssignments/my-test-assignment1t@3428384d-fa61-478e-b7e2-3d5fae74bea3 osPolicyCompliances: – complianceState: UNKNOWN complianceStateReason: os-policies-not-supported-by-agent osPolicyId: setup-repo-and-install-package-policy osPolicyResourceCompliances: – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: setup-repo – complianceState: UNKNOWN complianceStateReason: os-policy-execution-attempt-failed osPolicyResourceId: install-pkg updateTime: '2021-11-02T19:14:34.314831Z'
Tinjau
complianceState
dancomplianceStateReason
.- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
ComplianceState
di dokumentasi referensi API. - Untuk informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau
Kolom
complianceStateReason
diOSPolicyResourceCompliance
dokumentasi referensi API.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.
- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
REST
Di API, buat permintaan
GET
ke metodeprojects.locations.osPolicyAssignments.reports.get
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/VM_NAME/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID/report
Ganti kode berikut:
PROJECT_ID
: project ID Anda.ZONE
: zona tempat VM beradaVM_NAME
: nama atau ID VM yang Anda inginkan untuk melihat laporan penetapan kebijakan OS bagiOS_POLICY_ASSIGNMENT_ID
: ID penetapan kebijakan OS yang ingin Anda lihat laporan penetapan kebijakan OS-nya
Tinjau
complianceState
dancomplianceStateReason
.- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
ComplianceState
di dokumentasi referensi API. - Untuk informasi selengkapnya tentang alasan kepatuhan yang ditampilkan, tinjau
Kolom
complianceStateReason
diOSPolicyResourceCompliance
dokumentasi referensi API.
Untuk memperbaiki masalah ini, Anda juga dapat meninjau log untuk kebijakan OS dan melakukan update yang diperlukan. Untuk memeriksa log, lihat Memecahkan masalah VM Manager.
- Untuk informasi selengkapnya tentang status kepatuhan yang ditampilkan, tinjau
Apa langkah selanjutnya?
- Pelajari kebijakan OS lebih lanjut.
- Mengelola kebijakan OS.