VM Manager

VM Manager は、Compute Engine 上で Windows と Linux を実行している仮想マシン（VM）フリートでオペレーティングシステムの管理を行うためのツールです。

VM Manager を使用すると、自動化により作業効率が向上し、VM フリートのメンテナンスの負担が軽減されます。

VM Manager は、VPC Service Controls サービス境界のプロジェクトをサポートします。

概要

VM Manager スイートでは次のサービスを使用できます。

Patch: オンデマンドパッチとスケジュールされたパッチを適用する場合に使用します。Patch は、環境のパッチコンプライアンスのレポートにも使用できます。
OS Inventory Management: オペレーティングシステム情報を収集し、確認する場合に使用します。
OS ポリシー: このサービスを使用して、ソフトウェアパッケージのインストール、削除、自動更新を行います。

VM Manager のアーキテクチャ。 — 図 1. VM Manager アーキテクチャの概要

Google Cloud プロジェクトで VM Manager を設定または有効にすると、Patch、OS ポリシー、OS Inventory Management などの VM Manager ツールのフルパッケージにアクセスできます。

VM Manager を有効にする

VM Manager は、自動で有効化することも、手動で有効化することも可能です。自動での有効化は、プロジェクト全体に適用されます。手動での有効化は、VM ごとまたはプロジェクト全体に対して適用できます。

簡潔に説明すると、VM Manager を有効（自動または手動）にした場合は、次の設定が行われます。

Google Cloud プロジェクトで OS Config Service API が有効になります。
選択した各 VM で実行される OS Config エージェントは、必要なインスタンスメタデータ値を設定することで有効になります。

注: OS Config は、ほとんどの VM にプリインストールされていますが、インスタンスのメタデータが設定されるまで有効になりません。

VM Manager を手動で有効にする方法については、設定の概要をご覧ください。

自動での有効化は、Google Cloud コンソールから行います。

OS Config エージェント

VM Manager が有効な場合、OS Config エージェントは各サービスに対して次のように機能します。

Patch の場合、OS Config エージェントは、OS システムユーティリティ（yum、apt、rpm、Windows Update エージェントなど）を使用して OS パッケージまたは更新ソースからパッチや更新を取得し、VM に適用します。詳しくは、Patch の仕組みをご覧ください。
OS ポリシーの場合、OS Config エージェントは OS システムユーティリティ（yum、apt、rpm、Windows Update エージェントなど）を使用して、OS ポリシーで指定された VM の状態を維持します。詳細については、OS ポリシーの仕組みをご覧ください。
OS Inventory Management の場合、OS Config エージェントはインベントリデータを収集します。このインベントリデータはインスタンスメタデータとさまざまなログストリームに保存されます。このデータは、Google Cloud CLI を使用して取得できます。詳細については、OS Inventory Management の仕組みをご覧ください。

Google Cloud OS Config サービスエージェント

一部の Google Cloud サービスでは、ユーザーのリソースにアクセスするために、Google 管理のサービスアカウントを使用しています。これらのサービスアカウントは、サービスエージェントとも呼ばれます。サービスエージェントの詳細については、サービスエージェントをご覧ください。

VM Manager は、ユーザーに代わって VM に関する情報を収集するサービスエージェントを使用して、VM の管理を行っています。この Google マネージドサービスエージェントのメールアドレスは service-PROJECT_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com です。このアカウントは、Cloud OS Config サービスエージェントのロール（roles/osconfig.serviceAgent）を使用します。

プロジェクトのサービスエージェントとサービスエージェントに付与されているロールは、Google Cloud コンソールの [IAM] ページで確認できます。ただし、サービスエージェントの Cloud OS Config サービスエージェントのロールを取り消した場合、[IAM] ページでサービスエージェントを確認することはできません。

OS パッケージと更新ソース

Patch と OS ポリシーの両方で、VM がパッケージのソースとリポジトリにアクセスできる必要があります。プライベートネットワーク内の VM の場合は、限定公開の Google アクセスを設定できます。

VM Manager と Terraform

Terraform を使用すると、VM Manager のスコープを Google Cloud 組織内の複数のプロジェクトに拡張できます。Terraform と VM Manager を使用してパッチジョブと OS ポリシーの割り当てを作成する方法については、OS Config GitHub リポジトリで Terraform の例とチュートリアルをご覧ください。

Terraform の構成とその使用方法について詳しくは、以下のリソースのドキュメントをご覧ください。

Terraform の使用を開始するためのリソースの一覧については、Google Cloud で Terraform を使用するをご覧ください。

次のステップ

OS Inventory Management の詳細を確認する。
Patch の詳細を確認する。
OS ポリシーの詳細を確認する。