Jika Anda membuat VM Compute Engine dengan Agen Operasional yang diinstal selama pembuatan atau, dalam beberapa kasus, jika Anda menginstal agen di VM yang ada menggunakan konsol Google Cloud, Google Cloud juga membuat kebijakan OS VM Manager yang menginstal dan memantau Agen Operasional tersebut. Dokumen ini menjelaskan cara membuat kueri terhadap kebijakan OS Agen Operasional tersebut dan mengelola Agen Operasional pada VM yang dicakup oleh kebijakan tersebut. Untuk mengetahui informasi tentang cara membuat VM dengan Agen Operasional yang diinstal secara otomatis, lihat Menginstal Agen Operasional selama pembuatan VM.
Setelah kebijakan OS Agen Operasional dibuat, Anda dapat melakukan hal berikut:
- Tentukan VM mana yang dicakup oleh kebijakan.
- Tentukan zona mana yang dicakup oleh kebijakan tersebut.
- Memperluas cakupan kebijakan ke VM yang ada.
- Uninstal agen dari VM yang dicakup oleh kebijakan.
Temukan VM yang dicakup oleh kebijakan OS Agen Operasional
Anda dapat menggunakan Konsol Google Cloud atau Google Cloud CLI untuk melihat VM mana di project Google Cloud Anda yang dicakup oleh kebijakan OS Agen Operasional melalui penetapan kebijakan OS. Jika yakin bahwa VM tidak memiliki cakupan, Anda dapat memecahkan masalah dengan melakukan hal berikut:
- Pastikan VM memiliki label kebijakan OS Agen Operasional.
- Memverifikasi bahwa penetapan kebijakan OS Agen Operasional berhasil diluncurkan.
Memastikan kebijakan OS Agen Operasional ditetapkan ke VM di suatu zona
Untuk memverifikasi bahwa VM di zona tercakup oleh kebijakan OS Agen Operasional, gunakan konsol Google Cloud atau gcloud CLI untuk melihat apakah VM tersebut terkait dengan penetapan kebijakan OS Agen Operasional atau tidak.
Konsol
-
Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih OS policies:
Pada tab VM instances, pilih VM yang ingin diperiksa.
Jika VM tercakup dalam kebijakan OS Agen Operasional, kolom ID kebijakan OS akan menyertakan
goog-ops-agent-policy
dan statusnya adalah "Mematuhi".
gcloud
Untuk menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Output-nya menampilkan daftar VM dengan penetapan kebijakan OS Agen Operasional. Jika Agen Operasional diinstal di VM, kolom Ringkasan akan memiliki nilai "1/1 sesuai kebijakan".
INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY instance-1 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant instance-3 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant
Memastikan VM memiliki label kebijakan OS Agen Operasional
Untuk melihat VM di project Google Cloud Anda yang memiliki label kebijakan OS Agen Operasional, goog-ops-agent-policy
, gunakan konsol Google Cloud atau gcloud CLI.
Konsol
-
Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:
Pilih nama VM Anda.
Di panel Informasi dasar, cari entri Label.
Jika tercakup dalam kebijakan OS Agen Operasional, VM akan memiliki label seperti
goog-ops-agent-policy:v2-x86-template-1-0-0
.
gcloud
Untuk melihat semua VM yang memiliki label kebijakan OS Agen Operasional goog-ops-agent-policy
, jalankan perintah berikut:
gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"
Output akan menampilkan nama, zona, dan label VM. Contoh:
NAME ZONE LABELS test-vm1 us-central1-a {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'} test-vm1 us-east4-c {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
Untuk melihat apakah VM tertentu memiliki label kebijakan OS Agen Operasional, jalankan perintah berikut:
gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME
Output akan menampilkan daftar label untuk VM Anda. Jika VM Anda memiliki
label kebijakan OS Agen Operasional, goog-ops-agent-policy
akan muncul dalam daftar labels
. Contoh:
labels: goog-ops-agent-policy: v2-x86-template-1-0-0
Memverifikasi bahwa penetapan kebijakan OS Agen Operasional berhasil diluncurkan
Lihat penetapan kebijakan OS project Google Cloud Anda untuk memverifikasi bahwa penetapan kebijakan OS Agen Operasi telah di-deploy dengan benar ke zona tertentu.
Konsol
-
Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih OS policies:
Untuk melihat status peluncuran kebijakan OS, klik tab Penetapan kebijakan OS.
Penetapan kebijakan OS Agen Operasional memiliki ID yang diawali dengan string "goog-ops-agent". Jika tugas berhasil diluncurkan, tugas akan memiliki status peluncuran "Berhasil".
gcloud
Untuk melihat semua penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Output-nya menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona. Jika tugas berhasil diluncurkan, tugas tersebut akan memiliki status peluncuran "DISABLE". Contoh:
ASSIGNMENT_ID ROLLOUT_STATE REVISION_CREATE_TIME REVISION_ID goog-ops-agent-v2-x86-template-1-4-0-us-central1-b SUCCEEDED 2023-01-28T05:23:41Z. 940df3e9-77fd-470b-84df-53fb24825c4a goog-ops-agent-v2-x86-template-1-0-0-us-central1-b SUCCEEDED 2022-01-28T05:23:41Z. qwareaff-efte-erew-aeet-faer234t4gga
Untuk melihat detail tentang penetapan kebijakan OS Agen Operasional tertentu, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE
Meng-uninstal Agen Operasional pada VM yang dicakup oleh kebijakan OS Agen Operasional
Jika Anda meng-uninstal Agen Operasional secara manual pada VM yang tercakup dalam kebijakan OS Agen Operasional, kebijakan tersebut akan menginstal ulang agen. Untuk meng-uninstal Agen Operasional, Anda harus menghapus label goog-ops-agent-policy
terlebih dahulu dari VM. Setelah menghapus
label kebijakan OS Agen Operasional dari VM, Anda dapat meng-uninstal Agen Operasional
secara permanen.
Meng-uninstal Agen Operasional pada VM tertentu
Untuk menghapus kebijakan dan meng-uninstal Agen Operasional dari VM tertentu, Anda dapat menggunakan konsol Google Cloud atau gcloud CLI.
Konsol
-
Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:
Pilih nama VM yang ingin Anda edit.
Klik Edit.
Buka bagian Label, lalu klik + Tambahkan Label.
Cari label dengan kunci
goog-ops-agent-policy
, lalu klik Hapus item.
gcloud
Untuk menghapus label
goog-ops-agent-policy
dari VM, jalankan perintah berikut:gcloud compute instances update VM_NAME \ --remove-labels=goog-ops-agent-policy
Meng-uninstal Agen Operasional di semua VM
Untuk meng-uninstal Agen Operasional dari VM di zona yang memiliki penetapan kebijakan OS Agen Operasional, gunakan skrip yang disediakan oleh Cloud Monitoring. Anda tidak dapat meng-uninstal agen dari grup VM menggunakan Konsol Google Cloud.
Untuk menjalankan skrip, Anda harus memiliki peran Editor Kebijakan Tamu (roles/osconfig.guestPolicyEditor
).
Jalankan skrip berikut di Cloud Shell. Anda dapat menyediakan sejumlah zona:
curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh bash undo-ops-agent-policies.sh ZONE1 ZONE2
Skrip melakukan tugas berikut di setiap zona:
- Menemukan semua kebijakan OS Agen Operasional.
- Mengedit setiap kebijakan untuk meng-uninstal Agen Operasional pada VM yang tercakup.
- Menghapus kebijakan OS Agen Operasional.
- Menghapus label
goog-ops-agent-policy
dari setiap VM yang dicakup.
Menambahkan cakupan kebijakan OS Agen Operasional ke VM yang ada
Kebijakan OS Agen Operasional hanya mencakup VM yang memiliki label goog-ops-agent-policy
dan berada di zona yang sama dengan penetapan kebijakan OS Agen Operasional yang sudah ada. Namun, Anda dapat memperluas cakupan ke VM lain
yang dibuat tanpa kebijakan OS Agen Operasional
yang ditetapkan kepada VM tersebut.
Untuk memperluas cakupan kebijakan ke VM, Anda perlu mengetahui versi template penetapan kebijakan OS Agen Operasional di zona Anda. Jika zona Anda memiliki beberapa penetapan kebijakan OS Agen Operasional, cari penetapan dengan versi template terbaru. Untuk menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Untuk memperluas cakupan kebijakan ke VM lain, gunakan Google Cloud Console atau gcloud CLI:
Konsol
-
Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:
Dalam daftar VM instances, pilih kotak centang di samping VM yang ingin Anda beri label, lalu klik Labels.
Untuk menambahkan label, klik +Tambahkan label dan tambahkan pasangan nilai kunci. Kunci harus berupa
goog-ops-agent-policy
dan nilainya adalah versi template yang diinginkan, seperti1-0-0
.Simpan perubahan Anda.
gcloud
Untuk memperluas cakupan kebijakan ke VM tanpa cakupan, jalankan perintah berikut:
gcloud compute instances update VM_NAME --zone=ZONE --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0
gcloud compute instances add-metadata VM_NAME --zone=ZONE --metadata=enable-osconfig=TRUE
Izin
Penginstalan Agen Operasional menggunakan VM Manager dan memerlukan izin untuk mengaktifkan VM Manager API serta membuat kebijakan. Semua izin yang diperlukan tersedia menggunakan peran Editor (roles/Editor
). Atau, Anda dapat meminta administrator project untuk memberikan izin minimal menggunakan Google Cloud CLI.
Izin yang diperlukan untuk menginstal Agen Operasional selama pembuatan VM:
serviceusage.services.get
serviceusage.services.enable
osconfig.osPolicyAssignments.get
osconfig.osPolicyAssignments.create
osconfig.projectBillingConfigs.update
compute.instances.create
Izin yang diperlukan untuk menginstal Agen Operasional pada VM yang ada:
serviceusage.services.get
serviceusage.services.enable
osconfig.osPolicyAssignments.get
osconfig.osPolicyAssignments.create
osconfig.projectBillingConfigs.update
compute.instances.setMetadata
compute.instances.setLabels
Anda dapat menemukan peran terkait yang memberikan izin tersebut di referensi peran dasar dan yang telah ditetapkan IAM, dengan pengecualian izin osconfig.projectBillingConfigs.update
. Izin
ini disertakan dalam peran osconfig.projectBillingConfig
. Peran ini tidak tersedia di Google Cloud Console, tetapi dapat diberikan melalui gcloud CLI.
Contoh perintah guna memberikan peran untuk izin:
gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'