Anda membuat dan mengelola kebijakan agen menggunakan grup perintah gcloud compute instances ops-agents policies
di Google Cloud CLI atau modul Terraform ops-agent-policy
.
Kebijakan agen menggunakan rangkaian alat VM Manager di Compute Engine untuk mengelola kebijakan OS, yang dapat mengotomatiskan deployment dan pemeliharaan konfigurasi software seperti Ops Agent. Kebijakan ini tidak dapat diterapkan ke agen
Pemantauan lama atau agen Logging lama.
gcloud compute os-config os-policy-assignments
, grup perintah
gcloud compute instances ops-agents policies
dirancang khusus untuk kebijakan
agen yang dijelaskan dalam dokumen ini.
Sebelum memulai
Modul Terraform ops-agent-policy
dibuat berdasarkan perintah gcloud compute instances ops-agents policies
dari Google Cloud SDK. Untuk mengetahui informasi tentang cara kerja Terraform, lihat artikel Menggunakan Terraform.
Sebelum menggunakan Google Cloud CLI atau modul Terraform untuk membuat kebijakan agen, selesaikan langkah-langkah berikut:
Jika Anda akan menggunakan perintah
gcloud compute instances ops-agents policies
dan jika Anda belum melakukannya, instal Google Cloud CLI.Jika Anda akan menggunakan modul Terraform, lakukan hal berikut:
Untuk mengetahui informasi tentang cara menginstal Terraform, lihat Menginstal dan mengonfigurasi Terraform. Cloud Shell telah menginstal Terraform.
Clone repositori
terraform-google-cloud-operations
, yang berisi modulops-agent-policy
:git clone https://github.com/terraform-google-modules/terraform-google-cloud-operations
Download dan jalankan skrip
prepare-for-ops-agents-policies.sh
untuk mengaktifkan API yang diperlukan dan menetapkan izin yang tepat untuk menggunakan Google Cloud CLI atau Terraform.Untuk mengetahui informasi tentang skrip, lihat Skrip
prepare-for-ops-agents-policies.sh
.
Meng-uninstal agen Monitoring dan agen Logging lama
Jika Anda membuat kebijakan untuk Agen Operasional, pastikan VM Anda tidak menginstal Agen Logging atau Agen Pemantauan lama. Menjalankan Ops Agent dan agen lama di VM yang sama dapat menyebabkan penyerapan log duplikat atau konflik dalam penyerapan metrik. Jika perlu, uninstal Agen pemantauan dan uninstal Agen logging sebelum membuat kebijakan untuk menginstal Agen Operasional.Memastikan agen Konfigurasi OS telah diinstal
Anda mungkin perlu menginstal dan mengonfigurasi agen Konfigurasi OS secara manual di VM yang lebih lama dari Konfigurasi OS. Untuk informasi tentang cara menginstal dan memverifikasi agen Konfigurasi OS secara manual, lihat checklist verifikasi VM Manager.
Menemukan nilai untuk informasi sistem operasi
Jika ingin menerapkan kebijakan agen ke sistem operasi atau versi tertentu, Anda perlu mengetahui nilai yang digunakan OS Config untuk merujuk ke sistem operasi atau versi tersebut.
Untuk menemukan nilai kolom osShortName
dan osVersion
untuk VM, gunakan
perintah berikut:
gcloud compute instances os-inventory describe INSTANCE_NAME \
--zone ZONE | grep "^ShortName: "
gcloud compute instances os-inventory describe INSTANCE_NAME \
--zone ZONE | grep "^Version: "
Perintah ini memerlukan agen Konfigurasi OS untuk diinstal di VM.
Membuat kebijakan agen untuk mengelola Agen Operasional
Command-line
Untuk membuat kebijakan agen, gunakan perintahgcloud compute instances ops-agents policies
create
.
Perintah ini memiliki struktur berikut:
gcloud compute instances ops-agents policies
create
POLICY_ID \
--zone ZONE \
--file path/to/policy-description-file.yaml \
--project PROJECT_ID
Saat menggunakan perintah ini, ganti variabel sebagai berikut:
- POLICY_ID adalah nama untuk kebijakan Anda.
- ZONE adalah zona Compute Engine. Kebijakan agen hanya diterapkan ke VM di zona yang ditentukan. Untuk menerapkan kebijakan di beberapa zona, Anda harus membuat beberapa kebijakan.
- path/to/policy-description-file.yaml adalah jalur ke file YAML yang mendeskripsikan kebijakan. Untuk informasi tentang struktur file ini, lihat Menjelaskan kebijakan agen.
- PROJECT_ID adalah ID project Google Cloud Anda.
Untuk informasi tentang perintah lain dalam grup perintah dan
opsi yang tersedia, lihat
dokumentasi gcloud compute instances ops-agents policies
.
Menjelaskan kebijakan agen
Anda memberikan informasi kebijakan ke gcloud compute instances ops-agents policies
create
dengan
membuat file YAML yang menjelaskan kebijakan dan meneruskan file tersebut ke
perintah sebagai nilai opsi --file
.
Bagian ini menjelaskan struktur file deskripsi kebijakan. Untuk informasi tambahan, lihat Contoh file deskripsi kebijakan.
Format file deskripsi kebijakan YAML
File deskripsi untuk kebijakan agen harus menyertakan dua grup kolom:
agentsRule
, yang memberi tahu kebijakan agen apakah akan menginstal atau menghapus Ops Agent, dan menentukan versi Ops Agent yang akan dioperasikan.instanceFilter
, yang menjelaskan VM tempat kebijakan diterapkan.
Struktur grup kolom agentsRule
Grup kolom agentsRule
memiliki struktur berikut:
agentsRule:
packageState: installed|removed
version: latest|2.*.*|2.x.y
- Kolom
packageState
memberi tahu kebijakan status Ops Agent yang diinginkan. Nilai yang valid adalahinstalled
danremoved
. Kolom
version
menunjukkan versi Agen Operasional yang akan diinstal atau dihapus. Anda dapat menentukan nilai berikut:latest
adalah versi terbaru Agen Operasional.2.*.*
adalah rilis terbaru dari versi utama 2 Agen Operasi.2.x.y
menunjukkan rilis tertentu dari versi utama 2.
Untuk informasi tentang versi Ops Agent yang tersedia, lihat repositori GitHub agen.
Struktur grup kolom instanceFilter
Grup kolom instanceFilter
menunjukkan VM dalam zona tempat filter diterapkan. Grup kolom ini adalah representasi YAML dari
struktur InstanceFilter
yang digunakan oleh resource OSPolicyAssignment
di OS Config API.
Grup kolom instanceFilter
memiliki salah satu struktur berikut:
Untuk menerapkan kebijakan agen ke semua VM di zona, gunakan hal berikut:
instanceFilter: all: True
Jika menggunakan filter
all: True
, Anda tidak dapat menentukan kriteria lainnya.Untuk menerapkan kebijakan agen ke kumpulan VM tertentu di zona, jelaskan VM menggunakan kombinasi salah satu dari hal berikut:
- Label di VM, baik untuk penyertaan maupun pengecualian:
inclusionLabels:
exclusionLabels:
- Sistem operasi:
inventories:
Misalnya, filter berikut menerapkan kebijakan agen ke VM dengan sistem operasi yang ditentukan yang memiliki label "env=prod" dan tidak memiliki label "app=web":
instanceFilter: inclusionLabels: - labels: env: prod exclusionLabels: - labels: app: web inventories: - osShortName: rhel osVersion: '7.*' - osShortName: debian osVersion: '11'
Untuk informasi tentang cara menemukan nilai sistem operasi, lihat Menemukan informasi sistem operasi.
- Label di VM, baik untuk penyertaan maupun pengecualian:
Terraform
Untuk membuat kebijakan agen yang disesuaikan sepenuhnya, gunakan modul ops-agent-policy
di direktori modules
repositori terraform-google-cloud-operations
.
Modul ini memerlukan informasi yang sama dengan
perintah
.
Untuk deskripsi semua kolom yang digunakan untuk mendeskripsikan kebijakan agen,
pilih tab Command-line.gcloud compute instances ops-agents policies
create
Direktori examples
di
repositori terraform-google-cloud-operations
berisi file yang
menyediakan banyak variabel yang diperlukan oleh modul ops-agent-policy
untuk Anda. Untuk mengetahui informasi selengkapnya, lihat
Contoh konfigurasi kebijakan.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi tentang cara kerja Terraform, lihat artikel Menggunakan Terraform.
Memverifikasi status kebijakan agen
Bagian ini menjelaskan cara memeriksa status kebijakan yang dibuat dan penginstalan Ops Agent. Informasi ini juga dapat membantu memecahkan masalah kebijakan agen Anda.
Halaman kebijakan OS Compute Engine
Halaman Kebijakan OS Compute Engine memberikan informasi tentang kebijakan agen yang mengelola Agen Operasional dan tentang VM di tab Instance VM. Contoh:
- Kolom Status menunjukkan apakah kebijakan berhasil diinstal ("Compliant"), sedang berlangsung ("Pending"), mungkin gagal ("Unknown"), atau tidak ada ("No policies").
- Kolom VM dipantau menunjukkan apakah Agen Operasi
dikelola oleh Konfigurasi OS ("Dipantau") atau tidak ("Tidak dipantau").
Jika kebijakan "Mematuhi", tetapi VM menampilkan "Tidak dipantau", mungkin ada masalah saat menginstal Agen Operasional. Misalnya, Anda mungkin sudah menginstal agen lama.
Di konsol Google Cloud, buka halaman Kebijakan OS:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.
Instance VM di tab Kebijakan OS Compute Engine menampilkan informasi tentang agen yang dikelola oleh semua kebijakan OS di project Google Cloud Anda. Kebijakan ini diberi label goog-ops-agent-policy
.
- Indikator
goog-ops-agent-policy
mencakup beberapa jenis kebijakan:- Kebijakan yang dibuat menggunakan perintah
gcloud compute instances ops-agents policies
. - Kebijakan yang dibuat untuk Anda jika Anda meminta penginstalan Ops Agent saat membuat VM.
- Kebijakan yang dibuat menggunakan Terraform untuk mengelola Ops Agent.
Untuk membedakan kebijakan, gunakan tab OS policy assignments di halaman untuk melihat ID kebijakan untuk semua penetapan kebijakan di project Google Cloud Anda.
- Kebijakan yang dibuat menggunakan perintah
- Kolom VM yang dipantau ini tidak mencerminkan penginstalan Ops Agent dengan cara lain, seperti penginstalan manual atau dengan kebijakan agen beta.
Halaman VM Instances Cloud Monitoring
Halaman VM Instances di Cloud Monitoring menyertakan kolom Agent yang mencantumkan agen yang diinstal di setiap VM, dan untuk Ops Agent, menyertakan indikator untuk agen terinstal yang lebih lama dari versi terbaru.
Di konsol Google Cloud, buka halaman Dasbor Instance VM:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.
Contoh konfigurasi kebijakan
Bagian ini menjelaskan contoh untuk menyiapkan kebijakan agen saat menggunakan Google Cloud SDK atau Terraform.
Command-line
Contoh file deskripsi kebijakan
Bagian ini memberikan beberapa contoh file deskripsi kebijakan YAML untuk berbagai skenario. Contoh ini mengasumsikan bahwa Anda menempatkan YAML dalam file bernamaagent-policy-description.yaml
dan bahwa
Anda membuat kebijakan di zona us-central1-a
menggunakan perintah
seperti berikut:
gcloud compute instances ops-agents policies
create
POLICY_ID \
--zone us-central1-a \
--file agent-policy-description.yaml \
--project PROJECT_ID
Menginstal di semua VM
Untuk menginstal Agen Operasional versi terbaru di semua VM di zona us-central1-a
, gunakan deskripsi kebijakan berikut:
agentsRule:
packageState: installed
version: latest
instanceFilter:
all: True
Menghapus dari semua VM
Untuk menghapus versi terbaru Agen Operasional di semua VM di zona us-central1-a
, gunakan deskripsi kebijakan berikut:
agentsRule:
packageState: removed
version: latest
instanceFilter:
all: True
Menginstal di VM berdasarkan label
Untuk menginstal Agen Operasional versi terbaru di semua VM di zona us-central1-a
dengan label "env=prod" atau "app=web", gunakan deskripsi kebijakan berikut:
agentsRule:
packageState: installed
version: latest
instanceFilter:
inclusionLabels:
- labels:
env: prod
- labels:
app: web
Saat Anda menentukan beberapa entri labels:
untuk penyertaan atau pengecualian, VM akan cocok jika ada label; yaitu, kumpulan label untuk penyertaan atau pengecualian dicocokkan sebagai operasi OR
logis, bukan operasi AND
logis.
Menginstal di VM berdasarkan label lain
Untuk menginstal Ops Agent versi terbaru di semua VM di zona us-central1-a
yang menjalankan Debian 11, kecuali VM dengan label "env=prod" dan "app=web6", gunakan deskripsi kebijakan berikut:
agentsRule:
packageState: installed
version: latest
instanceFilter:
exclusionLabels:
- labels:
env: prod
app: web6
inventories:
- osShortName: debian
osVersion: '11'
Saat Anda menentukan beberapa pasangan nilai kunci dalam satu entri labels:
untuk penyertaan atau pengecualian, VM akan cocok jika semua label ada;
yaitu, label dicocokkan sebagai operasi AND
logis, bukan
operasi OR
logis.
Menginstal di VM berdasarkan sistem operasi
Untuk menginstal Ops Agent versi 2 terbaru di semua VM yang menjalankan
Debian 11 atau RHEL 7.* di zona us-central1-a
, gunakan deskripsi kebijakan
berikut:
agentsRule:
packageState: installed
version: 2.*.*
instanceFilter:
inventories:
- osShortName: rhel
osVersion: '7.*'
- osShortName: debian
osVersion: '11'
Terraform
Bagian ini menjelaskan contoh dalam direktori examples
repositori terraform-google-cloud-operations
. Contoh ini
berisi file yang mengonfigurasi banyak variabel yang diperlukan oleh
modul ops-agent-policy
untuk Anda. Anda juga dapat menyalin dan mengubah
contoh. Misalnya, semua contoh ini menginstal Agen Operasi;
Anda dapat mengubahnya untuk menghapus agen.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Contoh: ops_agent_policy_install_all
Contoh ini menginstal Agen Operasional versi terbaru di semua VM yang memenuhi syarat di project Google Cloud Anda.
Saat menjalankan perintah terraform plan
atau
terraform apply
, Anda akan diminta untuk memasukkan nilai
berikut:
- PROJECT_ID: ID project Google Cloud Anda
Contoh: ops_agent_policy_install_all_in_region
Contoh ini menginstal Agen Operasional versi terbaru di semua VM yang memenuhi syarat di region tertentu, seperti us-west1
. Region berisi
beberapa zona, dalam hal ini, us-west-1a
, us-west-1b
, dan us-west-1c
.
Saat menjalankan perintah terraform plan
atau
terraform apply
, Anda akan diminta untuk memasukkan nilai
berikut:
- PROJECT_ID: ID project Google Cloud Anda
- REGION: Region tempat menginstal agen di VM
Contoh: ops_agent_policy_install_all_in_zone
Contoh ini menginstal Agen Operasional versi terbaru di semua VM yang memenuhi syarat di zona tertentu, seperti us-central1-a
.
Saat menjalankan perintah terraform plan
atau
terraform apply
, Anda akan diminta untuk memasukkan nilai
berikut:
- PROJECT_ID: ID project Google Cloud Anda
- ZONE: Zona tempat menginstal agen di VM
Memecahkan masalah kebijakan agen GA
Bagian ini memberikan informasi untuk membantu Anda menyelesaikan masalah terkait kebijakan agen GA untuk Ops Agent. Informasi yang dijelaskan dalam Memverifikasi status kebijakan agen mungkin juga berguna.
Perintah ops-agents policy
gagal
Jika perintah gcloud compute instances ops-agents policies
gagal, respons akan menampilkan
error validasi. Perbaiki error dengan memperbaiki argumen dan flag perintah
seperti yang disarankan oleh pesan error.
Selain error validasi, Anda mungkin melihat error yang menunjukkan kondisi berikut:
Bagian berikut menjelaskan kondisi ini secara lebih mendetail.
Izin IAM tidak memadai
Jika perintah gcloud compute instances ops-agents policies
gagal dengan error izin, pastikan Anda telah menjalankan skrip prepare-for-ops-agents-policies.sh
seperti yang dijelaskan dalam Sebelum memulai untuk menyiapkan peran kebijakan OS Config:
-
OSPolicyAssignment Admin
(
roles/osconfig.osPolicyAssignmentAdmin
): Memberikan akses penuh ke penetapan kebijakan OS.
-
OSPolicyAssignment Editor
(
roles/osconfig.osPolicyAssignmentEditor
): Mengizinkan pengguna mendapatkan, memperbarui, dan mencantumkan penetapan kebijakan OS.
-
OSPolicyAssignment Viewer
(
roles/osconfig.osPolicyAssignmentViewer
): Memberikan akses hanya baca untuk mendapatkan dan mencantumkan penetapan kebijakan OS.
Untuk mengetahui informasi selengkapnya tentang skrip prepare-for-ops-agents-policies.sh
, lihat
Skrip prepare-for-ops-agents-policies.sh
.
OS Config API tidak diaktifkan
Contoh error terlihat seperti berikut:
API [osconfig.googleapis.com] not enabled on project PROJECT_ID.
Would you like to enable and retry (this will take a few minutes)?
(y/N)?
Anda dapat memasukkan y
untuk mengaktifkan API, atau menjalankan skrip prepare-for-ops-agents-policies.sh
, yang dijelaskan di bagian Sebelum memulai, untuk memberikan semua izin yang diperlukan. Jika Anda memasukkan y
di
prompt dalam pesan error, Anda masih perlu menjalankan
skrip prepare-for-ops-agents-policies.sh
untuk menetapkan izin yang diperlukan.
Untuk memverifikasi bahwa OS Config API diaktifkan untuk project, jalankan perintah berikut:
gcloud services list --project PROJECT_ID | grep osconfig.googleapis.com
Output yang diharapkan adalah sebagai berikut:
osconfig.googleapis.com Cloud OS Config API
Kebijakan sudah ada
Contoh error terlihat seperti berikut:
ALREADY_EXISTS: Requested entity already exists
Error ini berarti kebijakan ini sudah ada dengan nama, project ID, dan region yang sama. Anda dapat menggunakan perintah gcloud compute instances ops-agents policies
describe
untuk mengonfirmasi hal ini.
Kebijakan tidak ada
Contoh error terlihat seperti berikut:
NOT_FOUND: Requested entity was not found
Error ini mungkin berarti bahwa kebijakan tidak pernah dibuat, kebijakan telah
dihapus, atau ID kebijakan yang ditentukan salah. Pastikan
POLICY_ID yang digunakan dalam perintah gcloud compute instances ops-agents policies
describe
, update
, atau
delete
sesuai dengan kebijakan yang ada. Untuk mendapatkan daftar kebijakan
agen, gunakan perintah gcloud compute instances ops-agents policies
list
.
Kebijakan dibuat, tetapi sepertinya tidak berpengaruh
Agen OS Config di-deploy ke setiap instance Compute Engine untuk mengelola paket untuk agen Logging dan Monitoring. Kebijakan ini mungkin tampak tidak berpengaruh jika agen Konfigurasi OS yang mendasarinya tidak diinstal.
Linux
Untuk memverifikasi bahwa agen Konfigurasi OS telah diinstal, jalankan perintah berikut:
gcloud compute ssh instance-id \
--project project-id \
-- sudo systemctl status google-osconfig-agent
Contoh output-nya adalah:
google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
└─369 /usr/bin/google_osconfig_agent
Windows
Untuk memastikan bahwa agen Konfigurasi OS sudah diinstal, jalankan langkah-langkah berikut:
Hubungkan ke instance Anda menggunakan RDP atau alat serupa, lalu login ke Windows.
Buka terminal PowerShell, lalu jalankan perintah PowerShell berikut. Anda tidak memerlukan hak istimewa administrator.
Get-Service google_osconfig_agent
Contoh output-nya adalah:
Status Name DisplayName
------ ---- -----------
Running google_osconfig_a… Google OSConfig Agent
Jika agen OS Config tidak diinstal, Anda mungkin menggunakan sistem operasi yang tidak mendukung VM Manager. Dokumen Detail sistem operasi Compute Engine menunjukkan fitur VM Manager yang didukung untuk setiap sistem operasi Compute Engine.
Jika sistem operasi mendukung VM Manager, Anda dapat menginstal agen OS Config secara manual.
Agen OS Config diinstal, tetapi tidak menginstal Agen Operasional
Untuk memverifikasi apakah ada error saat agen OS Config menerapkan kebijakan, Anda dapat memeriksa log agen OS Config. Hal ini dapat dilakukan dengan menggunakan Logs Explorer atau menggunakan SSH atau RDP untuk memeriksa setiap instance Compute Engine.
Untuk melihat log agen OS Config di Logs Explorer, gunakan filter berikut:
resource.type="gce_instance"
logId(OSConfigAgent)
Untuk melihat log agen OS Config, lakukan hal berikut:
CentOS, RHEL,
SLES, SUSE
Jalankan perintah berikut:
gcloud compute ssh INSTANCE_ID \
--project PROJECT_ID \
-- sudo cat /var/log/messages \
| grep "OSConfigAgent\|google-fluentd\|stackdriver-agent"
Debian, Ubuntu
Jalankan perintah berikut:
gcloud compute ssh INSTANCE_ID \
--project PROJECT_ID \
-- sudo cat /var/log/syslog \
| grep "OSConfigAgent\|google-fluentd\|stackdriver-agent"
Windows
Hubungkan ke instance Anda menggunakan RDP atau alat serupa, lalu login ke Windows.
Buka aplikasi Event Viewer, lalu pilih Windows Logs > Application, dan telusuri log dengan
Source
sama denganOSConfigAgent
.
Jika terjadi error saat terhubung ke layanan OS Config, pastikan Anda menjalankan
skrip prepare-for-ops-agents-policies.sh
seperti yang dijelaskan dalam
Sebelum memulai
untuk menyiapkan metadata OS Config.
Untuk memverifikasi bahwa metadata OS Config diaktifkan, Anda dapat menjalankan perintah berikut:
gcloud compute project-info describe \
--project PROJECT_ID \
| grep "enable-osconfig\|enable-guest-attributes" -A 1
Output yang diharapkan adalah sebagai berikut:
- key: enable-guest-attributes
value: 'TRUE'
- key: enable-osconfig
value: 'TRUE'
Agen Operasional diinstal, tetapi tidak berfungsi dengan benar
Untuk mengetahui informasi selengkapnya tentang proses debug masalah Agen Operasional, lihat Memecahkan masalah Agen Operasional.
Mengaktifkan log tingkat debug untuk agen Konfigurasi OS
Sebaiknya aktifkan logging tingkat debug di agen Konfigurasi OS saat melaporkan masalah.
Anda dapat menetapkan metadata osconfig-log-level: debug
untuk mengaktifkan logging tingkat debug untuk agen Konfigurasi OS. Log yang dikumpulkan memiliki informasi lebih lanjut untuk
membantu penyelidikan.
Untuk mengaktifkan logging tingkat debug untuk seluruh project, jalankan perintah berikut:
gcloud compute project-info add-metadata \
--project PROJECT_ID \
--metadata osconfig-log-level=debug
Untuk mengaktifkan logging tingkat debug untuk satu VM, jalankan perintah berikut:
gcloud compute instances add-metadata INSTANCE_ID \
--project PROJECT_ID \
--metadata osconfig-log-level=debug
Skrip helper
Bagian ini memberikan informasi tambahan tentang skrip helper yang dijelaskan dalam dokumen ini:
Skrip prepare-for-ops-agents-policies.sh
Setelah mendownload skrip prepare-for-ops-agents-policies.sh
, Anda
dapat menggunakan skrip untuk melakukan tindakan berikut, berdasarkan argumen
yang Anda berikan:
Aktifkan Cloud Logging API, Cloud Monitoring API, dan OS Config API untuk project.
Jika belum diaktifkan, OS Config API akan diaktifkan dalam mode fitur terbatas, yang cukup untuk mengelola kebijakan agen. Untuk mengetahui informasi selengkapnya, lihat Harga.
Berikan peran Identity and Access Management Logs Writer (
roles/logging.logWriter
) dan Monitoring Metric Writer (roles/monitoring.metricWriter
) ke akun layanan default Compute Engine sehingga agen dapat menulis log dan metrik ke Logging dan Cloud Monitoring API.Aktifkan metadata OS Config untuk project sehingga agen OS Config di setiap VM aktif.
Berikan salah satu peran IAM berikut kepada pengguna non-pemilik, pengguna, atau akun layanan yang diperlukan untuk membuat dan mengelola kebijakan. Pemilik project memiliki akses penuh untuk membuat dan mengelola kebijakan; semua pengguna atau akun layanan lainnya harus diberi salah satu peran berikut:
-
OSPolicyAssignment Admin
(
roles/osconfig.osPolicyAssignmentAdmin
): Memberikan akses penuh ke penetapan kebijakan OS.
-
OSPolicyAssignment Editor
(
roles/osconfig.osPolicyAssignmentEditor
): Mengizinkan pengguna mendapatkan, memperbarui, dan mencantumkan penetapan kebijakan OS.
-
OSPolicyAssignment Viewer
(
roles/osconfig.osPolicyAssignmentViewer
): Memberikan akses hanya baca untuk mendapatkan dan mencantumkan penetapan kebijakan OS.
Saat menjalankan skrip, Anda dapat menentukan peran OSPolicyAssignment sebagai
admin
,editor
, atauviewer
. Skrip memetakan nilai tersebut ke nama peranroles/osconfig.osPolicyAssignment*
.-
OSPolicyAssignment Admin
(
Contoh berikut menunjukkan beberapa pemanggilan umum untuk skrip. Untuk informasi selengkapnya, lihat komentar dalam skrip itu sendiri.
Untuk mengaktifkan API, berikan peran yang diperlukan ke akun layanan default, dan aktifkan metadata OS Config untuk project, jalankan skrip sebagai berikut:
bash prepare-for-ops-agents-policies.sh --project=PROJECT_ID
Untuk memberikan salah satu peran Konfigurasi OS kepada pengguna yang tidak memiliki peran Pemilik (roles/owner
) di project, jalankan skrip sebagai berikut:
bash prepare-for-ops-agents-policies.sh --project=PROJECT_ID \ --iam-user=USER_EMAIL \ --iam-policy-access=[admin|editor|viewer]
Untuk memberikan salah satu peran OS Config ke akun layanan non-default, jalankan skrip sebagai berikut:
bash prepare-for-ops-agents-policies.sh --project=PROJECT_ID \ --iam-service-account=SERVICE_ACCT_EMAIL \ --iam-policy-access=[admin|editor|viewer]
Skrip diagnose_policies.sh
Dengan ID project, ID instance Compute Engine, zona Compute Engine, dan ID kebijakan agen, skrip diagnose_policies.sh
akan otomatis mengumpulkan informasi yang diperlukan untuk membantu mendiagnosis masalah pada kebijakan:
- Versi agen OS Config
- Penetapan kebijakan OS yang mendasarinya
- Penetapan kebijakan OS yang berlaku untuk instance Compute Engine ini
- Deskripsi instance Compute Engine ini
Untuk memanggil skrip, jalankan perintah berikut:
bash diagnose_policies.sh --project-id=PROJECT_ID \ --gce-instance-id=INSTANCE_ID \ --policy-id=POLICY_ID \ --zone=ZONE
Harga
Perintah gcloud compute instances ops-agents policies
diimplementasikan menggunakan resource penetapan kebijakan OS dari VM Manager.
Skrip prepare-for-ops-agents-policies.sh
, yang dijelaskan di Sebelum memulai, menyiapkan VM Manager dalam mode fitur terbatas (OSCONFIG_B
), yang cukup untuk membuat dan mengelola kebijakan agen. Penggunaan VM Manager dalam mode terbatas tidak dikenai biaya.
Jika telah mengonfigurasi Pengelola VM dalam mode fitur lengkap (OSCONFIG_C
), Anda mungkin akan dikenai biaya.