Jika Anda membuat VM Compute Engine dengan Agen Operasional yang diinstal selama pembuatan atau, dalam beberapa kasus, jika Anda menginstal agen di VM yang ada menggunakan konsol Google Cloud, Google Cloud juga akan membuat kebijakan OS Pengelola VM yang menginstal dan memantau Agen Operasional. Dokumen ini menjelaskan cara membuat kueri kebijakan OS Agen Operasional tersebut dan mengelola Agen Operasional di VM yang tercakup dalam kebijakan. Untuk informasi tentang cara membuat VM dengan Agen Operasional yang diinstal secara otomatis, lihat Menginstal Agen Operasional selama pembuatan VM.
Setelah kebijakan OS Agen Operasional dibuat, Anda dapat melakukan hal berikut:
- Tentukan VM mana yang tercakup dalam kebijakan.
- Tentukan zona mana yang tercakup dalam kebijakan.
- Memperluas cakupan kebijakan ke VM yang ada.
- Uninstal agen dari VM yang tercakup dalam kebijakan.
Menemukan VM yang dicakup oleh kebijakan OS Agen Operasional
Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk melihat VM mana di project Google Cloud Anda yang tercakup dalam kebijakan OS Ops Agent melalui penetapan kebijakan OS. Jika yakin VM tidak memiliki cakupan, Anda dapat memecahkan masalah dengan melakukan hal berikut:
- Pastikan VM memiliki label kebijakan OS Agen Operasional.
- Pastikan penetapan kebijakan OS Agen Operasional berhasil diluncurkan.
Memverifikasi bahwa kebijakan OS Agen Operasional ditetapkan ke VM di zona
Untuk memverifikasi bahwa VM di zona tercakup dalam kebijakan OS Agen Operasional, gunakan konsol Google Cloud atau gcloud CLI untuk melihat apakah VM terkait dengan penetapan kebijakan OS Agen Operasional.
Konsol
-
Di konsol Google Cloud, buka halaman Kebijakan OS:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.
Di tab VM instances, pilih VM yang ingin Anda periksa.
Jika VM dicakup oleh kebijakan OS Ops Agent, kolom OS policy id akan menyertakan
goog-ops-agent-policy
dan statusnya adalah "Compliant".
gcloud
Untuk menampilkan daftar penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Output menampilkan daftar VM dengan penetapan kebijakan OS Ops Agent. Jika Agen Operasi diinstal di VM, kolom Ringkasan akan memiliki nilai "1/1 kebijakan mematuhi".
INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY instance-1 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant instance-3 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant
Memverifikasi bahwa VM memiliki label kebijakan OS Agen Operasional
Untuk melihat VM mana di project Google Cloud Anda yang memiliki label kebijakan OS Ops Agent, goog-ops-agent-policy
, gunakan konsol Google Cloud atau gcloud CLI.
Konsol
-
Di Konsol Google Cloud, buka halaman Instance VM:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.
Pilih nama VM Anda.
Di panel Informasi dasar, temukan entri Label.
Jika VM dicakup dalam kebijakan OS Agen Operasional, VM tersebut memiliki label seperti
goog-ops-agent-policy:v2-x86-template-1-0-0
.
gcloud
Untuk melihat semua VM yang memiliki label kebijakan OS Ops Agent
goog-ops-agent-policy
, jalankan perintah berikut:
gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"
Output menampilkan nama, zona, dan label VM. Contoh:
NAME ZONE LABELS test-vm1 us-central1-a {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'} test-vm1 us-east4-c {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
Untuk melihat apakah VM tertentu memiliki label kebijakan OS Agen Operasi, jalankan perintah berikut:
gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME
Output akan menampilkan daftar label untuk VM Anda. Jika VM Anda memiliki
label kebijakan OS Agen Operasional, goog-ops-agent-policy
akan muncul dalam daftar labels
. Contoh:
labels: goog-ops-agent-policy: v2-x86-template-1-0-0
Memverifikasi bahwa penetapan kebijakan OS Agen Operasional berhasil diluncurkan
Lihat penetapan kebijakan OS project Google Cloud Anda untuk memverifikasi bahwa penetapan kebijakan OS Ops Agent di-deploy dengan benar ke zona tertentu.
Konsol
-
Di konsol Google Cloud, buka halaman Kebijakan OS:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subheading-nya adalah Compute Engine.
Untuk melihat status peluncuran kebijakan OS, klik tab Penetapan kebijakan OS.
Penetapan kebijakan OS Agen Operasional memiliki ID yang diawali dengan string "goog-ops-agent". Jika berhasil diluncurkan, tugas akan memiliki status peluncuran "Berhasil".
gcloud
Untuk melihat semua penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Output akan menampilkan daftar penetapan kebijakan OS Agen Operasi di zona. Jika berhasil diluncurkan, pemberian tugas akan memiliki status peluncuran "BERHASIL". Contoh:
ASSIGNMENT_ID ROLLOUT_STATE REVISION_CREATE_TIME REVISION_ID goog-ops-agent-v2-x86-template-1-4-0-us-central1-b SUCCEEDED 2023-01-28T05:23:41Z. 940df3e9-77fd-470b-84df-53fb24825c4a goog-ops-agent-v2-x86-template-1-0-0-us-central1-b SUCCEEDED 2022-01-28T05:23:41Z. qwareaff-efte-erew-aeet-faer234t4gga
Untuk melihat detail tentang penetapan kebijakan OS Agen Operasi tertentu, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE
Meng-uninstal Agen Operasional di VM yang dicakup dalam kebijakan OS Agen Operasional
Jika Anda secara manual
meng-uninstal Agen Operasional di VM yang dicakup oleh kebijakan OS Ops Agent,
kebijakan tersebut akan menginstal ulang Agen Operasional. Untuk meng-uninstal Agen Operasional, Anda harus menghapus label goog-ops-agent-policy
dari VM terlebih dahulu. Setelah menghapus
label kebijakan OS Agen Operasional dari VM, Anda dapat meng-uninstal Agen Operasional
secara permanen.
Meng-uninstal Agen Operasional di VM tertentu
Untuk menghapus kebijakan dan meng-uninstal Agen Operasional dari VM tertentu, Anda dapat menggunakan Konsol Google Cloud atau gcloud CLI.
Konsol
-
Di Konsol Google Cloud, buka halaman Instance VM:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.
Pilih nama VM yang ingin Anda edit.
Klik Edit.
Buka bagian Labels, lalu klik + Add Labels.
Temukan label dengan kunci
goog-ops-agent-policy
, lalu klik Delete item.
gcloud
Untuk menghapus label
goog-ops-agent-policy
dari VM, jalankan perintah berikut:gcloud compute instances update VM_NAME \ --remove-labels=goog-ops-agent-policy
Meng-uninstal Agen Operasional di semua VM
Untuk meng-uninstal Agen Operasional dari VM di zona yang memiliki penetapan kebijakan OS Ops Agent, gunakan skrip yang disediakan oleh Cloud Monitoring. Anda tidak dapat meng-uninstal agen dari grup VM menggunakan konsol Google Cloud.
Untuk menjalankan skrip, Anda harus memiliki
peran Editor GuestPolicy (roles/osconfig.guestPolicyEditor
).
Jalankan skrip berikut di Cloud Shell. Anda dapat memberikan berapa pun jumlah zona:
curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh bash undo-ops-agent-policies.sh ZONE1 ZONE2
Skrip ini melakukan tugas berikut di setiap zona:
- Menemukan semua kebijakan OS Agen Operasional.
- Mengedit setiap kebijakan agar dapat meng-uninstal Agen Operasional di VM yang tercakup.
- Menghapus kebijakan OS Agen Operasional.
- Menghapus label
goog-ops-agent-policy
dari setiap VM yang tercakup.
Menambahkan cakupan kebijakan OS Agen Operasional ke VM yang ada
Kebijakan OS Agen Operasional hanya mencakup VM
yang memiliki label goog-ops-agent-policy
dan berada di zona yang sama dengan penetapan
kebijakan OS Agen Operasional yang ada. Namun, Anda dapat memperluas cakupan ke VM lain
yang dibuat tanpa kebijakan OS Ops Agent
yang ditetapkan untuknya.
Untuk memperluas cakupan kebijakan ke VM, Anda perlu mengetahui versi template penetapan kebijakan OS Agen Operasional di zona Anda. Jika zona Anda memiliki beberapa penetapan kebijakan OS Agen Ops, temukan penetapan dengan versi template terbaru. Untuk menampilkan daftar penetapan kebijakan OS Agen Operasi di zona, jalankan perintah berikut:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Untuk memperluas cakupan kebijakan ke VM lain, gunakan konsol Google Cloud atau gcloud CLI:
Konsol
-
Di Konsol Google Cloud, buka halaman Instance VM:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.
Dalam daftar VM instances, pilih kotak centang di samping VM yang ingin Anda beri label, lalu klik Labels.
Untuk menambahkan label, klik +Tambahkan label dan tambahkan pasangan nilai kunci. Kunci harus berupa
goog-ops-agent-policy
dan nilainya adalah versi template yang diinginkan, seperti1-0-0
.Simpan perubahan Anda.
gcloud
Untuk memperluas cakupan kebijakan ke VM tanpa cakupan, jalankan perintah berikut:
gcloud compute instances update VM_NAME --zone=ZONE --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0
gcloud compute instances add-metadata VM_NAME --zone=ZONE --metadata=enable-osconfig=TRUE
Izin
Penginstalan Agen Operasi menggunakan VM Manager dan memerlukan izin untuk mengaktifkan VM Manager API dan membuat kebijakan. Semua izin yang diperlukan tersedia menggunakan peran Editor (roles/Editor
). Atau, Anda dapat meminta administrator project untuk memberikan izin minimal menggunakan Google Cloud CLI.
Izin yang diperlukan untuk menginstal Agen Operasional selama pembuatan VM:
serviceusage.services.get
serviceusage.services.enable
osconfig.osPolicyAssignments.get
osconfig.osPolicyAssignments.create
osconfig.projectBillingConfigs.update
compute.instances.create
Izin yang diperlukan untuk menginstal Agen Operasional di VM yang ada:
serviceusage.services.get
serviceusage.services.enable
osconfig.osPolicyAssignments.get
osconfig.osPolicyAssignments.create
osconfig.projectBillingConfigs.update
compute.instances.setMetadata
compute.instances.setLabels
Anda dapat menemukan peran yang sesuai yang memberikan izin tersebut di
referensi peran dasar dan peran yang telah ditetapkan IAM, dengan
pengecualian izin osconfig.projectBillingConfigs.update
. Izin ini
disertakan dalam peran osconfig.projectBillingConfig
. Peran ini tidak tersedia di konsol Google Cloud, tetapi dapat diberikan melalui gcloud CLI.
Contoh perintah untuk memberikan peran untuk izin:
gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'