VM Manager を設定する

Compute Engine では、VM Manager を使用して、仮想マシン（VM）で実行されているオペレーティング システムを管理できます。

VM Manager は、個々の VM、プロジェクト、フォルダまたは組織内のすべてのプロジェクトに対して有効にできます。VM Manager を使用するために必要な VM の設定手順については、設定の概要をご覧ください。

VM Manager を設定すると、OS Config API で実行される API オペレーションの監査ログを表示できます。詳しくは、VM Manager の監査ログの表示をご覧ください。

始める前に

• プロジェクトの OS Config の割り当てを確認します。
• まだ設定していない場合は、認証を設定します。認証では、 Google Cloud サービスと API にアクセスするための ID が確認されます。ローカル開発環境からコードまたはサンプルを実行するには、次のいずれかのオプションを選択して Compute Engine に対する認証を行います。

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Google Cloud CLI をインストールします。 インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

     gcloud init

     外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  2. Set a default region and zone.

  REST

  このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

  Google Cloud CLI をインストールします。 インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

  gcloud init

  外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  詳細については、 Google Cloud 認証ドキュメントの REST を使用して認証するをご覧ください。

サポートされているオペレーティング システム

VM Manager をサポートしているオペレーティング システムのバージョンの完全なリストについては、オペレーティング システムの詳細をご覧ください。 特定のオペレーティング システムで OS 構成エージェントを使用できない場合、このオペレーティング システムを実行する VM で VM Manager を有効にすることはできません。

組織のポリシーを使用して VM Manager を有効にする

Require OS Config 組織ポリシーを使用することで、組織、フォルダ、プロジェクト内のすべての新しい VM で VM Manager を自動的に有効にできます。

Require OS Config ブール値制約が設定されている場合、次の条件が適用されます。

• enable-osconfig=TRUE は、すべての新しいプロジェクトのプロジェクト メタデータに含まれています。
• VM とプロジェクトが新規の場合でも既存の場合でも、インスタンスまたはプロジェクトのメタデータで enable-osconfig を FALSE に設定するリクエストは拒否されます。
• この組織のポリシーでは、ポリシーを有効にする前に作成された VM またはプロジェクトの enable-osconfig メタデータ値が TRUE に変更されることはありません。これらの VM またはプロジェクトで VM Manager を有効にする場合は、メタデータを更新することをおすすめします。詳細については、メタデータ値を設定するをご覧ください。

OS Config 組織ポリシーが有効な場合でも、osconfig-disabled-features メタデータを使用して 1 つ以上の VM Manager 機能を無効にできます。

OS Config 組織ポリシーを有効にする

OS Config ポリシーを有効にするには、Google Cloud コンソールまたは Google Cloud CLI を使用して、組織全体、フォルダ、または特定のプロジェクトに Require OS Config の制約を設定します。

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --folder=folder-id

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --project=project-id

プロジェクトで VM Manager を有効にする

プロジェクトで VM Manager を有効にするには、次の 2 つの方法があります。

• 自動での有効化: Google Cloud プロジェクト全体に適用されます。 Google Cloud コンソールから自動での有効化を完了します。一部のステップは、手動で完了しなければならない場合があります。

• 手動での有効化: VM ごとまたは Google Cloud プロジェクト全体に対して適用できます。

OS Config Service API を有効にする

Google Cloud プロジェクトで OS Config API を有効にします。

gcloud services enable osconfig.googleapis.com

OS Config エージェントがインストールされているかどうかを確認する

OS Config エージェントは、ビルド日付が v20200114 以降の CentOS、Container-Optimized OS（COS）、Debian、Red Hat Enterprise Linux（RHEL）、Rocky Linux、SLES、Ubuntu、Windows Server の各イメージにデフォルトでインストールされています。OS Config エージェントがインストールされているオペレーティング システムのバージョンについては、オペレーティング システムの詳細をご覧ください。これらのエージェントは、エージェント メタデータを有効化し、サービス API を有効化するまで、アイドル状態で実行されます。

sudo systemctl status google-osconfig-agent

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

PowerShell Get-Service google_osconfig_agent

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

OS Config エージェントをインストールする

これらの手順でエージェントをインストールする前に、エージェントが VM ですでに実行されているかどうかを確認します。

各 VM に OS Config エージェントをインストールします。次のいずれかの方法で OS Config エージェントをインストールできます。

• ターミナルから手動でエージェントをインストールする。
• VM で起動スクリプトを使用する。
• Google Cloud Observability エージェント ポリシーを使用して、複数の VM への OS Config のインストールを自動化する。
• VM 作成時に Ops エージェントをインストールする。

手動でエージェントをインストールする

この方法を使用して、OS Config エージェントを既存の VM にインストールします。

エージェントのインストール手順は次のとおりです。

1. OS Config エージェントをインストールする VM に接続します。

2. OS Config エージェントをインストールします。

   Windows Server

   Windows サーバーに OS Config エージェントをインストールするには、次のコマンドを実行します。

   googet -noconfirm install google-osconfig-agent
   

   Ubuntu

   Ubuntu VM に OS Config エージェントをインストールするには、次のコマンドを実行します。

   1. Ubuntu リポジトリを設定します。

      • Ubuntu 20.04 以降のバージョンでは、次のコマンドを実行します。

        1. Ubuntu リポジトリを追加します。

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Google Cloud 公開鍵をインポートします。

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Ubuntu 18.04 以降のバージョンでは、次のコマンドを実行します。

        1. Ubuntu リポジトリを追加します。

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Google Cloud 公開鍵をインポートします。

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Ubuntu 16.04 の場合は、次のコマンドを実行します。

        1. Ubuntu リポジトリを追加します。

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Google Cloud 公開鍵をインポートします。

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

   2. OS Config エージェントをインストールします。

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

   Debian

   Debian VM に OS Config エージェントをインストールするには、次のコマンドを実行します。

   sudo apt update
   sudo apt -y install google-osconfig-agent
   

   Google Cloud リポジトリと公開鍵の追加

   Google が提供するイメージから作成されていない VM インスタンスを使用している場合や、「パッケージが見つかりません」というエラー メッセージが表示される場合は、次の手順で、 Google Cloudリポジトリを追加し、公開鍵をインポートします。

   リポジトリを追加して鍵をインポートしたら、コマンドを実行して OS Config エージェントをインストールできます。

   1. Debian Cloud リポジトリを設定します。

      Debian 13 以降

      1. 公開リポジトリの /etc/apt/keyrings 鍵をインストールします。

         sudo curl https://packages.cloud.google.com/apt/doc/apt-key.gpg -o /etc/apt/keyrings/google-keyring.gpg
         

      2. Debian ディストリビューションの名前を特定します。次に、ソースリスト ファイル /etc/apt/sources.list.d/google-cloud.list を作成します。

         eval $(grep VERSION_CODENAME /etc/os-release)
         sudo tee /etc/apt/sources.list.d/google-cloud.list << EOM
         deb [signed-by=/etc/apt/keyrings/google-keyring.gpg] http://packages.cloud.google.com/apt google-compute-engine-${VERSION_CODENAME}-stable main
         EOM
         

      Debian 12 以前

      1. 公開リポジトリの GPG 鍵をインストールします。

         curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -
         

      2. Debian ディストリビューションの名前を特定します。次に、ソースリスト ファイル /etc/apt/sources.list.d/google-cloud.list を作成します。

         eval $(grep VERSION_CODENAME /etc/os-release)
         sudo tee /etc/apt/sources.list.d/google-cloud.list << EOM
         deb http://packages.cloud.google.com/apt google-compute-engine-${VERSION_CODENAME}-stable main
         deb http://packages.cloud.google.com/apt google-cloud-packages-archive-keyring-${VERSION_CODENAME} main
         EOM
         

   RHEL / CentOS / Rocky

   RHEL 7/8、CentOS 7/8 VM、または Rocky Linux 8/9 に OS Config エージェントをインストールするには、次のコマンドを実行します。

   sudo yum -y install google-osconfig-agent
   

   SLES / openSUSE

   SLES または openSUSE VM に OS Config エージェントをインストールするには、次のコマンドを実行します。

   1. SLES リポジトリを設定します。

      • SLES 12 の場合は、次のコマンドを実行します。

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        

      • SLES 15 と OpenSUSE 15 の場合は、次のコマンドを実行します。

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        

   2. Google Cloudの GPG 鍵をインポートします。

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      

   3. OS Config エージェントをインストールします。

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
      

起動スクリプトを使用してエージェントをインストールする

手動のインストール コマンドを使用して、VM の作成中に OS Config エージェントをインストールする起動スクリプトを作成できます。

1. ご使用のオペレーティング システム用の手動インストール コマンドをコピーします。

2. VM 作成メソッドに起動スクリプトを追加します。

   たとえば、gcloud compute instances create コマンドを使用して新しい Debian 10 VM を作成する場合、コマンドは次のようになります。

   gcloud compute instances create VM_NAME \
      --image-family=debian-10 --image-project=debian-cloud \
      --metadata startup-script='#! /bin/bash
      apt update
      apt -y install google-osconfig-agent'

   VM_NAME は実際の VM 名に置き換えます。

3. 起動スクリプトが完了したことを確認します。起動スクリプトが完了したかどうかを確認するには、ログまたはシリアル コンソールを確認します。

メタデータ値を設定する

インスタンス メタデータは、各 VM に対して設定するか、プロジェクト メタデータに設定してプロジェクト内のすべての VM に適用します。

Google Cloud プロジェクトまたは VM で、enable-osconfig メタデータ値を TRUE に設定します。enable-osconfig メタデータ値を TRUE に設定すると、次の機能が有効になります。

• パッチ
• OS ポリシー
• OS Inventory Management
  • 以前のバージョンの OS Inventory Management では、enable-guest-attributes メタデータ値を TRUE に設定する必要もあります。両方のメタデータ値が設定されていない場合は、ダッシュボードに VM の no data が表示されます。この設定は新しいバージョンでは必要ありません。2 つの OS Inventory Management バージョンについては、OS Inventory Management のバージョンをご覧ください。

HTTP プロキシを構成する

VM で HTTP プロキシを使用する場合は、次のコマンドを実行して http_proxy 環境変数と https_proxy 環境変数を設定します。また、OS Config エージェントがローカル メタデータ サーバーにアクセスできるように、no_proxy 環境変数を構成して、メタデータ サーバー（169.254.169.254）を除外することも必要です。

mkdir -p /etc/systemd/system/google-osconfig-agent.service.d
cat >/etc/systemd/system/google-osconfig-agent.service.d/override.conf <<EOF
[Service]
Environment="http_proxy=http://PROXY_IP:PROXY_PORT" \
  "https_proxy=http://PROXY_IP:PROXY_PORT" \
  "no_proxy=169.254.169.254,metadata,metadata.google.internal"
EOF

systemctl daemon-reload
systemctl restart google-osconfig-agent

tr '\0' '\n' < /proc/$(systemctl show -p MainPID --value google-osconfig-agent)/environ

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

OS Config エージェントからの接続の問題を回避するため、no_proxy 環境変数を追加して、*.googleapis.com を除外することをおすすめします。特定の VM のみを OS Config エージェントに接続する場合は、VM が存在するゾーンに接頭辞を追加して、[zone-name]-osconfig.googleapis.com の形式で設定します。例: us-central1-f-osconfig.googleapis.com

不要な機能を無効にする

不要な機能については、次のメタデータ値 osconfig-disabled-features=FEATURE1,FEATURE2 を設定して無効にできます。

FEATURE1,FEATURE2 を次のいずれかの値に置き換えます。

• OS Inventory Management: osinventory
• パッチと OS ポリシー: tasks
• OS ゲストポリシー（ベータ版）: guestpolicies

メタデータ値を無効にするには、次のいずれかの方法を使用します。

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

アクティブな OS Config エージェントの要件

OS Config エージェントがアクティブで課金対象とみなされるには、次の要件をすべて満たしている必要があります。

• VM Manager が設定されている。

• VM が RUNNING 状態で、OS Config エージェントが OS Config サービスと通信を行っている。

  VM が停止、一時停止、ネットワークから切断されている場合、その VM のエージェントはアクティブなエージェントとしてカウントされません。

設定を確認する

設定手順を完了したら、設定を確認できます。

プロジェクトの VM Manager 機能の設定を表示する

プロジェクトですべての VM Manager 機能が有効になっているかどうかを確認するには、次の操作を行います。

gcloud compute os-config project-feature-settings describe \
    --project PROJECT_ID

name: projects/my-project/locations/global/projectFeatureSettings
patchAndConfigFeatureSet: OSCONFIG_C

   GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   

{
 "name": "projects/my-project/locations/global/projectFeatureSettings",
 "patchAndConfigFeatureSet": "OSCONFIG_C"
}

VM Manager の全機能を有効にする

プロジェクトで VM Manager が有効になっていない場合、VM の作成時に Ops エージェントをインストールすると、VM Manager は制限付きモードで有効になります。このモードでは、VM の数に制限なく、VM Manager の一部の機能を無料で利用できます。たとえば、[OS ポリシー] ページで VM の OS ポリシーの割り当てを表示できますが、OS ポリシーの割り当ての作成や編集はできません。

Ops エージェントがインストールされているこれらの VM に対して、VM Manager のすべての機能を有効にするには、次の操作を行います。

gcloud compute os-config project-feature-settings update \
    --project PROJECT_ID \
    --patch-and-config-feature-set=full

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   {
     "name": "projects/PROJECT_ID/locations/global/projectFeatureSettings",
     "patchAndConfigFeatureSet": "OSCONFIG_C"
   }
   

OS Config エージェントを無効にする

OS Config エージェントを無効にしても、VM の動作には影響しません。オペレーティング システムの他のサービスを停止するのと同じ方法で、エージェントを無効にできます。

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

次のステップ

• OS ポリシーの割り当てを作成する。
• オペレーティング システムの詳細を表示する。
• パッチジョブを作成する。
• VM Manager について学習する。