Mengelola VM yang dicakup dalam kebijakan OS Agen Operasional

Jika Anda membuat VM Compute Engine dengan Agen Operasional yang diinstal selama pembuatan atau, dalam beberapa kasus, jika Anda menginstal agen di VM yang ada menggunakan konsol Google Cloud, Google Cloud juga akan membuat kebijakan OS Pengelola VM yang menginstal dan memantau Agen Operasional. Dokumen ini menjelaskan cara membuat kueri kebijakan OS Agen Operasional tersebut dan mengelola Agen Operasional di VM yang tercakup dalam kebijakan. Untuk informasi tentang cara membuat VM dengan Agen Operasional yang diinstal secara otomatis, lihat Menginstal Agen Operasional selama pembuatan VM.

Setelah kebijakan OS Agen Operasional dibuat, Anda dapat melakukan hal berikut:

  • Tentukan VM mana yang tercakup dalam kebijakan.
  • Tentukan zona mana yang tercakup dalam kebijakan.
  • Memperluas cakupan kebijakan ke VM yang ada.
  • Uninstal agen dari VM yang tercakup dalam kebijakan.

Menemukan VM yang dicakup oleh kebijakan OS Agen Operasional

Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk melihat VM mana di project Google Cloud Anda yang tercakup dalam kebijakan OS Ops Agent melalui penetapan kebijakan OS. Jika yakin VM tidak memiliki cakupan, Anda dapat memecahkan masalah dengan melakukan hal berikut:

Memverifikasi bahwa kebijakan OS Agen Operasional ditetapkan ke VM di zona

Untuk memverifikasi bahwa VM di zona tercakup dalam kebijakan OS Agen Operasional, gunakan konsol Google Cloud atau gcloud CLI untuk melihat apakah VM terkait dengan penetapan kebijakan OS Agen Operasional.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan OS:

    Buka Kebijakan OS

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.

  2. Di tab VM instances, pilih VM yang ingin Anda periksa.

  3. Jika VM dicakup oleh kebijakan OS Ops Agent, kolom OS policy id akan menyertakan goog-ops-agent-policy dan statusnya adalah "Compliant".

gcloud

Untuk menampilkan daftar penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Output menampilkan daftar VM dengan penetapan kebijakan OS Ops Agent. Jika Agen Operasi diinstal di VM, kolom Ringkasan akan memiliki nilai "1/1 kebijakan mematuhi".

INSTANCE    ASSIGNMENT_ID                                    LOCATION    UPDATE_TIME                  SUMMARY
instance-1  goog-ops-agent-v2-x86-template-1-0-0-us-east4-c  us-east4-c  2023-04-28T02:11:15.118088Z  1/1 policies compliant
instance-3  goog-ops-agent-v2-x86-template-1-0-0-us-east4-c  us-east4-c  2023-04-28T02:11:15.118088Z  1/1 policies compliant

Memverifikasi bahwa VM memiliki label kebijakan OS Agen Operasional

Untuk melihat VM mana di project Google Cloud Anda yang memiliki label kebijakan OS Ops Agent, goog-ops-agent-policy, gunakan konsol Google Cloud atau gcloud CLI.

Konsol

  1. Di Konsol Google Cloud, buka halaman Instance VM:

    Buka instance VM

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.

  2. Pilih nama VM Anda.

  3. Di panel Informasi dasar, temukan entri Label.

    Jika VM dicakup dalam kebijakan OS Agen Operasional, VM tersebut memiliki label seperti goog-ops-agent-policy:v2-x86-template-1-0-0.

gcloud

Untuk melihat semua VM yang memiliki label kebijakan OS Ops Agent goog-ops-agent-policy, jalankan perintah berikut:

gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"

Output menampilkan nama, zona, dan label VM. Contoh:

NAME                  ZONE           LABELS
test-vm1              us-central1-a  {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
test-vm1              us-east4-c     {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}

Untuk melihat apakah VM tertentu memiliki label kebijakan OS Agen Operasi, jalankan perintah berikut:

gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME

Output akan menampilkan daftar label untuk VM Anda. Jika VM Anda memiliki label kebijakan OS Agen Operasional, goog-ops-agent-policy akan muncul dalam daftar labels. Contoh:

labels:
  goog-ops-agent-policy: v2-x86-template-1-0-0

Memverifikasi bahwa penetapan kebijakan OS Agen Operasional berhasil diluncurkan

Lihat penetapan kebijakan OS project Google Cloud Anda untuk memverifikasi bahwa penetapan kebijakan OS Ops Agent di-deploy dengan benar ke zona tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Kebijakan OS:

    Buka Kebijakan OS

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subheading-nya adalah Compute Engine.

  2. Untuk melihat status peluncuran kebijakan OS, klik tab Penetapan kebijakan OS.

    Penetapan kebijakan OS Agen Operasional memiliki ID yang diawali dengan string "goog-ops-agent". Jika berhasil diluncurkan, tugas akan memiliki status peluncuran "Berhasil".

gcloud

Untuk melihat semua penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Output akan menampilkan daftar penetapan kebijakan OS Agen Operasi di zona. Jika berhasil diluncurkan, pemberian tugas akan memiliki status peluncuran "BERHASIL". Contoh:

ASSIGNMENT_ID                                       ROLLOUT_STATE    REVISION_CREATE_TIME       REVISION_ID    
goog-ops-agent-v2-x86-template-1-4-0-us-central1-b  SUCCEEDED        2023-01-28T05:23:41Z.      940df3e9-77fd-470b-84df-53fb24825c4a
goog-ops-agent-v2-x86-template-1-0-0-us-central1-b  SUCCEEDED        2022-01-28T05:23:41Z.      qwareaff-efte-erew-aeet-faer234t4gga

Untuk melihat detail tentang penetapan kebijakan OS Agen Operasi tertentu, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE

Meng-uninstal Agen Operasional di VM yang dicakup dalam kebijakan OS Agen Operasional

Jika Anda secara manual meng-uninstal Agen Operasional di VM yang dicakup oleh kebijakan OS Ops Agent, kebijakan tersebut akan menginstal ulang Agen Operasional. Untuk meng-uninstal Agen Operasional, Anda harus menghapus label goog-ops-agent-policy dari VM terlebih dahulu. Setelah menghapus label kebijakan OS Agen Operasional dari VM, Anda dapat meng-uninstal Agen Operasional secara permanen.

Meng-uninstal Agen Operasional di VM tertentu

Untuk menghapus kebijakan dan meng-uninstal Agen Operasional dari VM tertentu, Anda dapat menggunakan Konsol Google Cloud atau gcloud CLI.

Konsol

  1. Di Konsol Google Cloud, buka halaman Instance VM:

    Buka instance VM

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.

  2. Pilih nama VM yang ingin Anda edit.

  3. Klik Edit.

  4. Buka bagian Labels, lalu klik + Add Labels.

  5. Temukan label dengan kunci goog-ops-agent-policy, lalu klik Delete item.

  6. Uninstal agen.

gcloud

  1. Untuk menghapus label goog-ops-agent-policy dari VM, jalankan perintah berikut:

    gcloud compute instances update VM_NAME \
      --remove-labels=goog-ops-agent-policy
    
  2. Uninstal agen.

Meng-uninstal Agen Operasional di semua VM

Untuk meng-uninstal Agen Operasional dari VM di zona yang memiliki penetapan kebijakan OS Ops Agent, gunakan skrip yang disediakan oleh Cloud Monitoring. Anda tidak dapat meng-uninstal agen dari grup VM menggunakan konsol Google Cloud.

Untuk menjalankan skrip, Anda harus memiliki peran Editor GuestPolicy (roles/osconfig.guestPolicyEditor).

Jalankan skrip berikut di Cloud Shell. Anda dapat memberikan berapa pun jumlah zona:

curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh
bash undo-ops-agent-policies.sh ZONE1 ZONE2

Skrip ini melakukan tugas berikut di setiap zona:

  1. Menemukan semua kebijakan OS Agen Operasional.
  2. Mengedit setiap kebijakan agar dapat meng-uninstal Agen Operasional di VM yang tercakup.
  3. Menghapus kebijakan OS Agen Operasional.
  4. Menghapus label goog-ops-agent-policy dari setiap VM yang tercakup.

Menambahkan cakupan kebijakan OS Agen Operasional ke VM yang ada

Kebijakan OS Agen Operasional hanya mencakup VM yang memiliki label goog-ops-agent-policy dan berada di zona yang sama dengan penetapan kebijakan OS Agen Operasional yang ada. Namun, Anda dapat memperluas cakupan ke VM lain yang dibuat tanpa kebijakan OS Ops Agent yang ditetapkan untuknya.

Untuk memperluas cakupan kebijakan ke VM, Anda perlu mengetahui versi template penetapan kebijakan OS Agen Operasional di zona Anda. Jika zona Anda memiliki beberapa penetapan kebijakan OS Agen Ops, temukan penetapan dengan versi template terbaru. Untuk menampilkan daftar penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:

gcloud compute os-config os-policy-assignments list --location=ZONE
  --filter="ASSIGNMENT_ID ~ goog-ops-agent"

Untuk memperluas cakupan kebijakan ke VM lain, gunakan konsol Google Cloud atau gcloud CLI:

Konsol

  1. Di Konsol Google Cloud, buka halaman Instance VM:

    Buka instance VM

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.

  2. Dalam daftar VM instances, pilih kotak centang di samping VM yang ingin Anda beri label, lalu klik Labels.

  3. Untuk menambahkan label, klik +Tambahkan label dan tambahkan pasangan nilai kunci. Kunci harus berupa goog-ops-agent-policy dan nilainya adalah versi template yang diinginkan, seperti 1-0-0.

  4. Simpan perubahan Anda.

gcloud

Untuk memperluas cakupan kebijakan ke VM tanpa cakupan, jalankan perintah berikut:

gcloud compute instances update VM_NAME --zone=ZONE
  --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0
gcloud compute instances add-metadata VM_NAME --zone=ZONE
  --metadata=enable-osconfig=TRUE

Izin

Penginstalan Agen Operasi menggunakan VM Manager dan memerlukan izin untuk mengaktifkan VM Manager API dan membuat kebijakan. Semua izin yang diperlukan tersedia menggunakan peran Editor (roles/Editor). Atau, Anda dapat meminta administrator project untuk memberikan izin minimal menggunakan Google Cloud CLI.

Izin yang diperlukan untuk menginstal Agen Operasional selama pembuatan VM:

  • serviceusage.services.get
  • serviceusage.services.enable
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.create
  • osconfig.projectBillingConfigs.update
  • compute.instances.create

Izin yang diperlukan untuk menginstal Agen Operasional di VM yang ada:

  • serviceusage.services.get
  • serviceusage.services.enable
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.create
  • osconfig.projectBillingConfigs.update
  • compute.instances.setMetadata
  • compute.instances.setLabels

Anda dapat menemukan peran yang sesuai yang memberikan izin tersebut di referensi peran dasar dan peran yang telah ditetapkan IAM, dengan pengecualian izin osconfig.projectBillingConfigs.update. Izin ini disertakan dalam peran osconfig.projectBillingConfig. Peran ini tidak tersedia di konsol Google Cloud, tetapi dapat diberikan melalui gcloud CLI.

Contoh perintah untuk memberikan peran untuk izin:

gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'