Mengelola VM yang dicakup oleh kebijakan OS Agen Operasional

Jika Anda membuat VM Compute Engine dengan Agen Operasional yang diinstal selama pembuatan atau, dalam beberapa kasus, jika Anda menginstal agen di VM yang ada menggunakan konsol Google Cloud, Google Cloud juga membuat kebijakan OS VM Manager yang menginstal dan memantau Agen Operasional tersebut. Dokumen ini menjelaskan cara membuat kueri terhadap kebijakan OS Agen Operasional tersebut dan mengelola Agen Operasional pada VM yang dicakup oleh kebijakan tersebut. Untuk mengetahui informasi tentang cara membuat VM dengan Agen Operasional yang diinstal secara otomatis, lihat Menginstal Agen Operasional selama pembuatan VM.

Setelah kebijakan OS Agen Operasional dibuat, Anda dapat melakukan hal berikut:

  • Tentukan VM mana yang dicakup oleh kebijakan.
  • Tentukan zona mana yang dicakup oleh kebijakan tersebut.
  • Memperluas cakupan kebijakan ke VM yang ada.
  • Uninstal agen dari VM yang dicakup oleh kebijakan.

Temukan VM yang dicakup oleh kebijakan OS Agen Operasional

Anda dapat menggunakan Konsol Google Cloud atau Google Cloud CLI untuk melihat VM mana di project Google Cloud Anda yang dicakup oleh kebijakan OS Agen Operasional melalui penetapan kebijakan OS. Jika yakin bahwa VM tidak memiliki cakupan, Anda dapat memecahkan masalah dengan melakukan hal berikut:

Memastikan kebijakan OS Agen Operasional ditetapkan ke VM di suatu zona

Untuk memverifikasi bahwa VM di zona tercakup oleh kebijakan OS Agen Operasional, gunakan konsol Google Cloud atau gcloud CLI untuk melihat apakah VM tersebut terkait dengan penetapan kebijakan OS Agen Operasional atau tidak.

Konsol

  1. Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih OS policies:

    Buka OS Policy

  2. Pada tab VM instances, pilih VM yang ingin diperiksa.

  3. Jika VM tercakup dalam kebijakan OS Agen Operasional, kolom ID kebijakan OS akan menyertakan goog-ops-agent-policy dan statusnya adalah "Mematuhi".

gcloud

Untuk menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Output-nya menampilkan daftar VM dengan penetapan kebijakan OS Agen Operasional. Jika Agen Operasional diinstal di VM, kolom Ringkasan akan memiliki nilai "1/1 sesuai kebijakan".

INSTANCE    ASSIGNMENT_ID                                    LOCATION    UPDATE_TIME                  SUMMARY
instance-1  goog-ops-agent-v2-x86-template-1-0-0-us-east4-c  us-east4-c  2023-04-28T02:11:15.118088Z  1/1 policies compliant
instance-3  goog-ops-agent-v2-x86-template-1-0-0-us-east4-c  us-east4-c  2023-04-28T02:11:15.118088Z  1/1 policies compliant

Memastikan VM memiliki label kebijakan OS Agen Operasional

Untuk melihat VM di project Google Cloud Anda yang memiliki label kebijakan OS Agen Operasional, goog-ops-agent-policy, gunakan konsol Google Cloud atau gcloud CLI.

Konsol

  1. Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:

    Buka instance VM

  2. Pilih nama VM Anda.

  3. Di panel Informasi dasar, cari entri Label.

    Jika tercakup dalam kebijakan OS Agen Operasional, VM akan memiliki label seperti goog-ops-agent-policy:v2-x86-template-1-0-0.

gcloud

Untuk melihat semua VM yang memiliki label kebijakan OS Agen Operasional goog-ops-agent-policy, jalankan perintah berikut:

gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"

Output akan menampilkan nama, zona, dan label VM. Contoh:

NAME                  ZONE           LABELS
test-vm1              us-central1-a  {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
test-vm1              us-east4-c     {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}

Untuk melihat apakah VM tertentu memiliki label kebijakan OS Agen Operasional, jalankan perintah berikut:

gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME

Output akan menampilkan daftar label untuk VM Anda. Jika VM Anda memiliki label kebijakan OS Agen Operasional, goog-ops-agent-policy akan muncul dalam daftar labels. Contoh:

labels:
  goog-ops-agent-policy: v2-x86-template-1-0-0

Memverifikasi bahwa penetapan kebijakan OS Agen Operasional berhasil diluncurkan

Lihat penetapan kebijakan OS project Google Cloud Anda untuk memverifikasi bahwa penetapan kebijakan OS Agen Operasi telah di-deploy dengan benar ke zona tertentu.

Konsol

  1. Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih OS policies:

    Buka OS Policy

  2. Untuk melihat status peluncuran kebijakan OS, klik tab Penetapan kebijakan OS.

    Penetapan kebijakan OS Agen Operasional memiliki ID yang diawali dengan string "goog-ops-agent". Jika tugas berhasil diluncurkan, tugas akan memiliki status peluncuran "Berhasil".

gcloud

Untuk melihat semua penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Output-nya menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona. Jika tugas berhasil diluncurkan, tugas tersebut akan memiliki status peluncuran "DISABLE". Contoh:

ASSIGNMENT_ID                                       ROLLOUT_STATE    REVISION_CREATE_TIME       REVISION_ID
goog-ops-agent-v2-x86-template-1-4-0-us-central1-b  SUCCEEDED        2023-01-28T05:23:41Z.      940df3e9-77fd-470b-84df-53fb24825c4a
goog-ops-agent-v2-x86-template-1-0-0-us-central1-b  SUCCEEDED        2022-01-28T05:23:41Z.      qwareaff-efte-erew-aeet-faer234t4gga

Untuk melihat detail tentang penetapan kebijakan OS Agen Operasional tertentu, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE

Meng-uninstal Agen Operasional pada VM yang dicakup oleh kebijakan OS Agen Operasional

Jika Anda meng-uninstal Agen Operasional secara manual pada VM yang tercakup dalam kebijakan OS Agen Operasional, kebijakan tersebut akan menginstal ulang agen. Untuk meng-uninstal Agen Operasional, Anda harus menghapus label goog-ops-agent-policy terlebih dahulu dari VM. Setelah menghapus label kebijakan OS Agen Operasional dari VM, Anda dapat meng-uninstal Agen Operasional secara permanen.

Meng-uninstal Agen Operasional pada VM tertentu

Untuk menghapus kebijakan dan meng-uninstal Agen Operasional dari VM tertentu, Anda dapat menggunakan konsol Google Cloud atau gcloud CLI.

Konsol

  1. Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:

    Buka instance VM

  2. Pilih nama VM yang ingin Anda edit.

  3. Klik Edit.

  4. Buka bagian Label, lalu klik + Tambahkan Label.

  5. Cari label dengan kunci goog-ops-agent-policy, lalu klik Hapus item.

  6. Uninstal agen.

gcloud

  1. Untuk menghapus label goog-ops-agent-policy dari VM, jalankan perintah berikut:

    gcloud compute instances update VM_NAME \
  --remove-labels=goog-ops-agent-policy

  2. Uninstal agen.

Meng-uninstal Agen Operasional di semua VM

Untuk meng-uninstal Agen Operasional dari VM di zona yang memiliki penetapan kebijakan OS Agen Operasional, gunakan skrip yang disediakan oleh Cloud Monitoring. Anda tidak dapat meng-uninstal agen dari grup VM menggunakan Konsol Google Cloud.

Untuk menjalankan skrip, Anda harus memiliki peran Editor Kebijakan Tamu (roles/osconfig.guestPolicyEditor).

Jalankan skrip berikut di Cloud Shell. Anda dapat menyediakan sejumlah zona:

curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh
bash undo-ops-agent-policies.sh ZONE1 ZONE2

Skrip melakukan tugas berikut di setiap zona:

  1. Menemukan semua kebijakan OS Agen Operasional.
  2. Mengedit setiap kebijakan untuk meng-uninstal Agen Operasional pada VM yang tercakup.
  3. Menghapus kebijakan OS Agen Operasional.
  4. Menghapus label goog-ops-agent-policy dari setiap VM yang dicakup.

Menambahkan cakupan kebijakan OS Agen Operasional ke VM yang ada

Kebijakan OS Agen Operasional hanya mencakup VM yang memiliki label goog-ops-agent-policy dan berada di zona yang sama dengan penetapan kebijakan OS Agen Operasional yang sudah ada. Namun, Anda dapat memperluas cakupan ke VM lain yang dibuat tanpa kebijakan OS Agen Operasional yang ditetapkan kepada VM tersebut.

Untuk memperluas cakupan kebijakan ke VM, Anda perlu mengetahui versi template penetapan kebijakan OS Agen Operasional di zona Anda. Jika zona Anda memiliki beberapa penetapan kebijakan OS Agen Operasional, cari penetapan dengan versi template terbaru. Untuk menampilkan daftar penetapan kebijakan OS Agen Operasional di suatu zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments list --location=ZONE
  --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Untuk memperluas cakupan kebijakan ke VM lain, gunakan Google Cloud Console atau gcloud CLI:

Konsol

  1. Pada panel navigasi Konsol Google Cloud, pilih Compute Engine, lalu pilih VM instances:

    Buka instance VM

  2. Dalam daftar VM instances, pilih kotak centang di samping VM yang ingin Anda beri label, lalu klik Labels.

  3. Untuk menambahkan label, klik +Tambahkan label dan tambahkan pasangan nilai kunci. Kunci harus berupa goog-ops-agent-policy dan nilainya adalah versi template yang diinginkan, seperti 1-0-0.

  4. Simpan perubahan Anda.

gcloud

Untuk memperluas cakupan kebijakan ke VM tanpa cakupan, jalankan perintah berikut:

gcloud compute instances update VM_NAME --zone=ZONE
  --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0

gcloud compute instances add-metadata VM_NAME --zone=ZONE
  --metadata=enable-osconfig=TRUE

Izin

Penginstalan Agen Operasional menggunakan VM Manager dan memerlukan izin untuk mengaktifkan VM Manager API serta membuat kebijakan. Semua izin yang diperlukan tersedia menggunakan peran Editor (roles/Editor). Atau, Anda dapat meminta administrator project untuk memberikan izin minimal menggunakan Google Cloud CLI.

Izin yang diperlukan untuk menginstal Agen Operasional selama pembuatan VM:

  • serviceusage.services.get
  • serviceusage.services.enable
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.create
  • osconfig.projectBillingConfigs.update
  • compute.instances.create

Izin yang diperlukan untuk menginstal Agen Operasional pada VM yang ada:

  • serviceusage.services.get
  • serviceusage.services.enable
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.create
  • osconfig.projectBillingConfigs.update
  • compute.instances.setMetadata
  • compute.instances.setLabels

Anda dapat menemukan peran terkait yang memberikan izin tersebut di referensi peran dasar dan yang telah ditetapkan IAM, dengan pengecualian izin osconfig.projectBillingConfigs.update. Izin ini disertakan dalam peran osconfig.projectBillingConfig. Peran ini tidak tersedia di Google Cloud Console, tetapi dapat diberikan melalui gcloud CLI.

Contoh perintah guna memberikan peran untuk izin:

gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'