Utiliser des règles d'agent (bêta)

Vous pouvez créer et gérer des règles d'agent à l'aide du Commande gcloud beta compute instances ops-agents policies dans la Google Cloud CLI. Les commandes de ce groupe utilisent les Suite d'outils VM Manager Compute Engine pour gérer les règles d'OS, qui peut automatiser le déploiement et la maintenance des configurations logicielles comme Agents Google Cloud Observability: l'agent Ops, l'ancien agent Monitoring et l'ancien agent Logging.

Créer une règle d'agent

Pour créer une règle d'agent à l'aide de la Google Cloud CLI, procédez comme suit : étapes:

  1. Si vous ne l'avez pas déjà fait, installez Google Cloud CLI.

    Ce document décrit le groupe de commandes beta pour la gestion des règles d'agent.

  2. Si vous ne l'avez pas déjà fait, installez le composant beta de la CLI gcloud :

    gcloud components install beta

    Pour vérifier si le composant beta est installé, exécutez la commande suivante :

    gcloud components list

    Si vous avez déjà installé le composant beta, assurez-vous de disposer de la dernière version :

    gcloud components update

  3. Téléchargez et utilisez le script suivant pour activer les API et définir le les autorisations appropriées pour utiliser la Google Cloud CLI: set-permissions.sh.

    Pour en savoir plus sur le script, consultez l'article set-permissions.sh à l'aide du script.

  4. Exécutez la commande gcloud beta compute instances ops-agents policies create. pour créer une stratégie. Pour connaître la syntaxe de la commande, consultez les gcloud beta compute instances ops-agents policies create dans la documentation Google Cloud.

    Pour obtenir des exemples de formatage de la commande, consultez les Exemples dans la documentation Google Cloud CLI.

    Pour en savoir plus sur les autres commandes du groupe de commandes et les options disponibles, consultez les gcloud beta compute instances ops-agents policies.

Bonnes pratiques relatives à l'utilisation des règles d'agent

Pour contrôler l'impact du déploiement sur les systèmes de production, nous vous recommandons de spécifier des étiquettes d'instances et des zones afin de filtrer les instances auxquelles la règle s'applique.

Si vous créez une règle pour l'agent Ops, assurez-vous que l'ancien agent Logging ou Monitoring n'est pas installé sur vos VM. L'exécution de l'agent Ops et des anciens agents sur la même VM peut entraîner l'ingestion de journaux en double ou créer un conflit dans l'ingestion des métriques. Si nécessaire, désinstallez l'agent Monitoring et désinstallez l'agent Logging avant de créer une règle pour installer l'agent Ops.

Voici un exemple de plan de déploiement par étapes pour les VM Debian 11 dans un projet appelé my_project:

Phase 1: Créer une règle nommée ops-agents-policy-safe-rollout pour installer la Agent Ops sur toutes les VM avec les étiquettes env=test et app=myproduct.

gcloud beta compute instances \
    ops-agents policies create ops-agents-policy-safe-rollout \
    --agent-rules="type=ops-agent,version=current-major,package-state=installed,enable-autoupgrade=true" \
    --os-types=short-name=debian,version=11 \
    --group-labels=env=test,app=myproduct \
    --project=my_project

Pour en savoir plus sur la spécification du système d'exploitation, consultez les gcloud beta compute instances ops-agents policies create.

Phase 2: Mettre à jour cette règle pour cibler les VM d'une seule zone ayant le les libellés env=prod et app=myproduct.

gcloud beta compute instances \
    ops-agents policies update ops-agents-policy-safe-rollout \
    --group-labels=env=prod,app=myproduct \
    --zones=us-central1-c \

Phase 3 : mettre à jour cette règle pour effacer le filtre des zones et la déployer globalement.

gcloud beta compute instances \
    ops-agents policies update ops-agents-policy-safe-rollout \
    --clear-zones

Règles sur les VM antérieures à OS Config

Vous devrez peut-être installer et configurer manuellement l'agent OS Config sur VM antérieures à OS Config. Pour en savoir plus sur l'installation manuelle et en vérifiant l'agent OS Config, consultez la Checklist de validation de VM Manager

Résoudre les problèmes liés aux règles d'agent bêta

Cette section fournit des informations pour vous aider à résoudre les problèmes liés à l'agent bêta pour l'agent Ops, l'ancien agent Monitoring et l'ancien agent Logging.

Les commandes ops-agents policy échouent

Lorsqu'une commande gcloud beta compute instances ops-agents policies échoue, la réponse affiche une erreur de validation. Corrigez ces erreurs en corrigeant les arguments de commande et les options, comme indiqué par le message d'erreur.

En plus des erreurs de validation, il est possible que d'autres erreurs indiquent les conditions suivantes:

Les sections suivantes décrivent ces conditions plus en détail.

Autorisation IAM insuffisante

Si une commande gcloud beta compute instances ops-agents policies échoue avec une erreur d'autorisation, alors assurez-vous d'avoir exécuté le script set-permissions.sh comme décrit dans Créer une règle d'agent Pour configurer les rôles de stratégie OS Config:

Pour en savoir plus sur le script set-permissions.sh, consultez Script set-permissions.sh.

L'API OS Config n'est pas activée

Voici un exemple d'erreur:

API [osconfig.googleapis.com] not enabled on project PROJECT_ID.
Would you like to enable and retry (this will take a few minutes)?
(y/N)?

Vous pouvez saisir y pour activer l'API ou exécuter set-permissions.sh , décrit dans Créez une règle d'agent. pour accorder toutes les autorisations nécessaires. Si vous saisissez y au niveau apparaît dans le message d'erreur, vous devez quand même exécuter set-permissions.sh pour définir les autorisations nécessaires.

Pour vérifier que l'API OS Config est activée pour le projet, exécutez la les commandes suivantes:

gcloud services list --project PROJECT_ID | grep osconfig.googleapis.com

Le résultat attendu est le suivant:

osconfig.googleapis.com    Cloud OS Config API

La règle n'existe pas

Voici un exemple d'erreur:

NOT_FOUND: Requested entity was not found

Cette erreur peut signifier que la stratégie n'a jamais été créée, qu'elle a été supprimé, ou que l'ID de stratégie spécifié est incorrect. Assurez-vous que le paramètre POLICY_ID utilisé dans un gcloud beta compute instances ops-agents policies describe, update ou delete correspond à une règle existante. Pour obtenir la liste des agents utilisez la commande gcloud beta compute instances ops-agents policies list.

La règle est créée, mais elle semble n'avoir aucun effet

Les agents OS Config sont déployés sur chaque instance Compute Engine afin de gérer les packages pour les agents Logging et Monitoring. Cette règle peut sembler sans effet si l'agent OS Config sous-jacent n'est pas installés.

Linux

Pour vérifier que l'agent OS Config est installé, exécutez la commande suivante :

gcloud compute ssh instance-id \
    --project project-id \
    -- sudo systemctl status google-osconfig-agent

Voici un exemple de sortie :

    google-osconfig-agent.service - Google OSConfig Agent
    Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
    Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
    Main PID: 369 (google_osconfig)
     Tasks: 8 (limit: 4374)
    Memory: 102.7M
    CGroup: /system.slice/google-osconfig-agent.service
            └─369 /usr/bin/google_osconfig_agent

Windows

Pour vérifier que l'agent OS Config est installé, exécutez la commande suivante :

  1. Connectez-vous à votre instance via RDP ou un outil similaire, et connectez-vous à Windows.

  2. Ouvrez un terminal PowerShell, puis exécutez la commande PowerShell suivante. Vous n'avez pas besoin de droits d'administrateur.

    Get-Service google_osconfig_agent

Voici un exemple de sortie :

    Status   Name               DisplayName
    ------   ----               -----------
    Running  google_osconfig_a… Google OSConfig Agent

Si l'agent OS Config n'est pas installé, vous utilisez peut-être qui n'est pas compatible avec VM Manager. La Document Détails des systèmes d'exploitation Compute Engine indique les fonctionnalités de VM Manager compatibles avec chaque le système d'exploitation Compute Engine.

Si le système d'exploitation est compatible avec VM Manager, installer manuellement l'agent OS Config.

L'agent OS Config est installé, mais il n'installe pas l'agent Ops

Pour vérifier si des erreurs se produisent lorsque l'agent OS Config applique des règles, vous pouvez consulter le journal de l'agent OS Config. Pour cela, vous pouvez utiliser Explorateur de journaux, ou utilisation de SSH ou RDP pour examiner chaque instance de Compute Engine Compute Engine.

Pour afficher les journaux de l'agent OS Config dans l'explorateur de journaux, utilisez le filtre suivant :

resource.type="gce_instance"
logId(OSConfigAgent)

Pour afficher les journaux de l'agent OS Config, procédez comme suit:

CentOS, RHEL,
SLES, SUSE

Exécutez la commande suivante : 

gcloud compute ssh INSTANCE_ID \
    --project PROJECT_ID \
    -- sudo cat /var/log/messages \
       | grep "OSConfigAgent\|google-fluentd\|stackdriver-agent"

Debian, Ubuntu

Exécutez la commande suivante : 

gcloud compute ssh INSTANCE_ID \
    --project PROJECT_ID \
    -- sudo cat /var/log/syslog \
       | grep "OSConfigAgent\|google-fluentd\|stackdriver-agent"

Windows

  1. Connectez-vous à votre instance via RDP ou un outil similaire, et connectez-vous à Windows.

  2. Ouvrez l'application Event Viewer, puis sélectionnez Windows Logs > Application (Journaux Windows > Application), et recherchez les journaux pour lesquels Source est égal à OSConfigAgent.

Si une erreur se produit lors de la connexion au service OS Config, assurez-vous d'exécuter la set-permissions.sh, comme décrit dans Créer une règle d'agent pour configurer les métadonnées OS Config.

Pour vérifier que les métadonnées OS Config sont activées, exécutez la commande suivante :

gcloud compute project-info describe \
    --project PROJECT_ID \
    | grep "enable-osconfig\|enable-guest-attributes" -A 1

Le résultat attendu est le suivant:

- key: enable-guest-attributes
  value: 'TRUE'
- key: enable-osconfig
  value: 'TRUE'

Les agents d'observabilité sont installés, mais ne fonctionnent pas correctement

Pour en savoir plus sur le débogage d'agents spécifiques, consultez les documents suivants:

Activer les journaux de niveau débogage pour l'agent OS Config

Il peut être utile d'activer la journalisation de niveau débogage dans l'agent OS Config lorsque vous signalez un problème.

Vous pouvez définir les métadonnées osconfig-log-level: debug pour activer la journalisation au niveau du débogage pour l'agent OS Config. Les journaux collectés contiennent plus d'informations pour faciliter l'investigation.

Afin d'activer la journalisation au niveau du débogage pour l'ensemble du projet, exécutez la commande suivante :

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata osconfig-log-level=debug

Pour activer la journalisation au niveau du débogage sur une VM, exécutez la commande suivante :

gcloud compute instances add-metadata INSTANCE_ID \
    --project PROJECT_ID \
    --metadata osconfig-log-level=debug

Scripts d'aide

Cette section fournit des informations supplémentaires sur les scripts d'aide. décrites dans ce document:

Script set-permissions.sh

Après avoir téléchargé le script set-permissions.sh, vous peut utiliser le script pour effectuer les actions suivantes, en fonction des arguments que vous fournissez:

Les exemples suivants illustrent quelques appels courants du script. Pour en savoir plus, consultez les commentaires dans le script lui-même.

Pour activer les API, attribuez les rôles nécessaires au compte de service par défaut, et activez les métadonnées OS Config pour un projet, exécutez le script comme suit:

bash set-permissions.sh --project=PROJECT_ID

Pour en plus accorder l'un des rôles OS Config à un utilisateur qui ne dispose pas du rôle Propriétaire (roles/owner) sur le projet, exécutez le script comme suit :

bash set-permissions.sh --project=PROJECT_ID \
  --iam-user=USER_EMAIL \
  --iam-permission-role=guestPolicy[Admin|Editor|Viewer]

Pour en plus accorder l'un des rôles OS Config à un compte de service autre que celui par défaut, exécutez le script comme suit :

bash set-permissions.sh --project=PROJECT_ID \
  --iam-service-account=SERVICE_ACCT_EMAIL \
  --iam-permission-role=guestPolicy[Admin|Editor|Viewer]

Script diagnose.sh

À partir d'un ID de projet, d'un ID d'instance Compute Engine, et l'ID de stratégie d'agent, Le script diagnose.sh collecte automatiquement les informations nécessaires pour nous aider à diagnostiquer les problèmes liés au règlement:

  • Version de l'agent OS Config
  • Règle d'invité OS Config sous-jacente
  • Les règles applicables à cette instance Compute Engine
  • Les dépôts de packages de l'agent qui sont extraits dans ce Instance Compute Engine

Pour appeler le script, exécutez la commande suivante:

bash diagnose.sh --project-id=PROJECT_ID \ 
  --gce-instance-id=INSTANCE_ID \
  --policy-id=POLICY_ID

Intégration de Terraform

La prise en charge de Terraform repose sur les commandes de Google Cloud CLI. Pour créer un d'agent avec Terraform, suivez les Instructions concernant le module Terraform