Kebijakan OS adalah file yang berisi konfigurasi deklaratif untuk resource
OS, seperti paket, repositori, file, atau resource kustom yang ditentukan oleh
skrip. Untuk mengetahui informasi selengkapnya, lihat definisi resource untuk OSPolicy
.
Penetapan kebijakan OS adalah resource API yang digunakan oleh VM Manager untuk menerapkan kebijakan OS ke VM. Untuk mengetahui informasi selengkapnya, lihat definisi resource
untuk OSPolicyAssignment
.
Kebijakan OS
Kebijakan OS adalah file JSON atau YAML yang memiliki tiga bagian:
Mode. Perilaku kebijakan. Tersedia dua mode berikut:
Validation
: untuk mode ini, kebijakan akan memeriksa apakah resource dalam status yang dipilih, tetapi tidak mengambil tindakan apa pun.Enforcement
: untuk mode ini, kebijakan akan memeriksa apakah resource berada dalam status yang dipilih dan, jika tidak, kebijakan akan melakukan tindakan yang diperlukan untuk membawanya ke status yang dipilih.
Untuk kedua mode tersebut, VM Manager melaporkan kepatuhan terhadap kebijakan OS dan resource terkait.
Grup resource. Nama dan versi sistem operasi yang menerapkan spesifikasi resource terkait. Misalnya, Anda dapat menentukan satu kebijakan untuk menginstal atau men-deploy agen di berbagai distribusi dan versi sistem operasi.
Resource. Spesifikasi yang diperlukan VM untuk mencapai konfigurasi yang dipilih. Anda dapat menentukan maksimum 10 ID resource di setiap grup resource. Jenis resource berikut ini didukung:
pkg
: digunakan untuk menginstal atau menghapus paket Linux dan Windowsrepository
: digunakan untuk menentukan lokasi asal paket software repositori yang dapat diinstalexec
: digunakan untuk mengaktifkan berjalannya skrip ad hoc (/bin/sh
) atau skrip PowerShellfile
: digunakan untuk mengelola file pada sistem
Contoh kebijakan OS
Contoh berikut menunjukkan cara membuat kebijakan OS. Anda dapat mengupload kebijakan OS ini ke konsol Google Cloud saat membuat penetapan kebijakan OS.
- Contoh 1: menginstal paket.
- Contoh 2: menjalankan skrip.
- Contoh 3: menjalankan skrip yang disimpan di bucket Cloud Storage dan menyalin file output ke bucket Cloud Storage.
- Contoh 4: menentukan repositori download dan menginstal paket dari repositori tersebut.
- Contoh 5: mengonfigurasi pemindaian benchmark CIS di VM yang menjalankan Container-Optimized OS (COS). Untuk informasi selengkapnya tentang penggunaan kebijakan OS untuk pemindaian benchmark CIS, lihat Mengotomatiskan pengaktifan dan pemeriksaan status kepatuhan CIS.
Untuk mengetahui daftar lengkap contoh kebijakan OS yang dapat Anda terapkan di lingkungan Anda, lihat repositori GitHub GoogleCloudPlatform/osconfig.
Contoh 1
Membuat kebijakan OS yang menginstal MSI Windows yang didownload dari bucket Cloud Storage.
Contoh 2
Membuat kebijakan OS yang memverifikasi apakah server web Apache berjalan di VM Linux Anda.
Contoh 3
Membuat kebijakan OS yang memverifikasi apakah server web Apache berjalan
di VM Linux Anda. Dalam contoh ini, skrip apache-validate.sh
disimpan di bucket Cloud Storage. Untuk menyalin output ke bucket Cloud Storage, skrip apache-enforce.sh
harus menyertakan perintah yang mirip dengan berikut:
gcsutil cp my-exec-output-file gs://my-gcs-bucket
Contoh 4
Membuat kebijakan OS yang menginstal agen Google Cloud Observability di VM CentOS.
Contoh 5
Mengonfigurasi pemindaian CIS Level 1 berkala dengan periode default sekali sehari.
Penetapan kebijakan OS
Penetapan kebijakan OS memiliki bagian berikut:
Kebijakan OS. Satu atau beberapa kebijakan OS yang ingin diterapkan ke VM Anda. Untuk mendownload atau membuat kebijakan, lihat kebijakan OS.
VM Target. Kumpulan VM dalam satu zona tempat Anda ingin menerapkan kebijakan. Dalam zona, Anda dapat membatasi atau membatasi VM menggunakan grup OS dan menyertakan atau mengecualikan label. Anda dapat memilih kombinasi opsi berikut:
- Grup OS: menentukan sistem operasi target tempat kebijakan OS berlaku. Untuk mengetahui daftar lengkap sistem operasi dan versi yang mendukung kebijakan OS, lihat Detail sistem operasi.
- Sertakan set: menentukan VM tempat kebijakan OS diterapkan berdasarkan label VM atau sistem.
- Pengecualian set: menentukan VM yang harus diabaikan oleh kebijakan OS berdasarkan label sistem atau VM.
Untuk kedua set label sertakan dan kecualikan, satu label string diterima jika cocok dengan konvensi penamaan yang digunakan oleh sistem. Namun, sebagian besar label ditentukan dalam pasangan
key:value
. Untuk informasi selengkapnya tentang label, lihat Pelabelan resource.Misalnya, Anda dapat memilih semua VM Ubuntu di lingkungan pengujian Anda, dan mengecualikan VM yang menjalankan Google Kubernetes Engine, dengan menentukan hal berikut:
- Grup OS:
ubuntu
- Sertakan:
env:test
,env:staging
- Kecualikan:
goog-gke-node
Tingkat peluncuran. Menentukan kecepatan penerapan kebijakan OS ke VM. Kebijakan OS diluncurkan secara bertahap agar Anda dapat melacak kondisi sistem dan melakukan modifikasi jika update menyebabkan regresi di lingkungan. Rencana peluncuran memiliki komponen berikut:
- Ukuran gelombang (anggaran gangguan): jumlah atau persentase VM tetap yang dapat mengalami peluncuran dalam satu waktu. Artinya, pada setiap saat peluncuran, hanya sejumlah VM tertentu yang ditargetkan.
- Waktu tunggu: waktu antara saat layanan menerapkan kebijakan ke VM dan saat VM dihapus dari nilai minimum gangguan. Misalnya, waktu tunggu 15 menit berarti proses peluncuran harus menunggu 15 menit setelah kebijakan diterapkan ke VM sebelum dapat menghapus VM dari batas gangguan dan peluncuran dapat dilanjutkan. Waktu tunggu membantu mengontrol kecepatan peluncuran serta memungkinkan Anda menangkap dan menyelesaikan potensi masalah peluncuran lebih awal. Pilih waktu yang cukup lama bagi Anda untuk memantau status peluncuran.
Misalnya, jika Anda menetapkan target 10 VM, menetapkan batas gangguan sebesar 20%, dan menetapkan waktu bake ke 15 menit, hanya 2 VM yang dijadwalkan untuk diperbarui pada waktu tertentu. Setelah setiap VM diupdate, harus lewat 15 menit sebelum VM dihapus dari nilai minimum gangguan dan VM lain ditambahkan ke peluncuran.
Untuk mengetahui informasi selengkapnya tentang peluncuran, lihat Peluncuran.
Contoh penetapan kebijakan OS
Contoh berikut menunjukkan cara membuat penetapan kebijakan OS. Anda dapat menggunakan contoh ini untuk membuat penetapan kebijakan OS dari Google Cloud CLI atau OS Config API.
- Contoh 1: menginstal paket.
- Contoh 2: menjalankan skrip.
- Contoh 3: menentukan repositori download dan menginstal paket dari repositori tersebut.
Untuk mengetahui daftar contoh penetapan kebijakan OS yang dapat diterapkan di lingkungan Anda, lihat repositori GitHub GoogleCloudPlatform/osconfig.
Contoh 1
Membuat penetapan kebijakan OS yang menginstal MSI Windows yang didownload dari bucket Cloud Storage.
Contoh 2
Membuat penetapan kebijakan OS yang memverifikasi apakah server web Apache berjalan di semua VM Linux Anda.
Contoh 3
Membuat penetapan kebijakan OS yang menginstal agen Google Cloud Observability di VM CentOS.
Apa langkah selanjutnya?
- Pelajari lebih lanjut tentang kebijakan OS.
- Membuat penetapan kebijakan OS.
- Mengelola kebijakan OS.