Se hai creato VM Compute Engine con l'agente operativo installato durante la creazione o, in alcuni casi, se hai installato l'agente su VM esistenti utilizzando la console Google Cloud, Google Cloud ha creato anche i criteri del sistema operativo di VM Manager che installano e monitorano l'agente operativo. Questo documento descrive come eseguire query su questi criteri del sistema operativo di Ops Agent e gestire l'agente Ops Agent sulle VM coperte dai criteri. Per informazioni sulla creazione di VM con Ops Agent installato automaticamente, consulta Installare Ops Agent durante la creazione della VM.
Dopo aver creato un criterio del sistema operativo di Ops Agent, puoi:
- Determina quali VM sono coperte dal criterio.
- Stabilisci quali zone sono coperte dal criterio.
- Estendi la copertura dei criteri alle VM esistenti.
- Disinstalla l'agente da una VM coperta dal criterio.
Trovare le VM coperte dai criteri del sistema operativo di Ops Agent
Puoi utilizzare la console Google Cloud o Google Cloud CLI per quali VM nel tuo progetto Google Cloud sono coperte dai criteri del sistema operativo di Ops Agent. tramite l'assegnazione di un criterio del sistema operativo. Se ritieni che per una VM manchi la copertura, puoi risolvere il problema nel seguente modo:
- Verifica che una VM abbia un'etichetta dei criteri del sistema operativo Ops Agent.
- Verifica che un'assegnazione dei criteri del sistema operativo di Ops Agent sia stata implementata correttamente.
Verificare che un criterio del sistema operativo di Ops Agent sia assegnato alle VM in una zona
Per verificare che le VM in una zona siano coperte dal criterio del sistema operativo dell'agente Ops, utilizza la console Google Cloud o la CLI gcloud per vedere se la VM è correlata a un'assegnazione del criterio del sistema operativo dell'agente Ops.
Console
-
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo:
Vai a Criteri del sistema operativo
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Nella scheda Istanze VM, seleziona la VM che vuoi controllare.
Se la VM è coperta da un sistema operativo Ops Agent la colonna ID criterio del sistema operativo include
goog-ops-agent-policye lo stato è "Conforme".
gcloud
Per visualizzare un elenco delle assegnazioni dei criteri del sistema operativo di Ops Agent in una zona, esegui il seguente comando:
gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
L'output mostra un elenco di VM con un'assegnazione di criteri OS di Ops Agent. Se l'agente operativo è installato sulla VM, la colonna Riepilogo ha un valore "1/1 criteri conformi".
INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY instance-1 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant instance-3 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant
Verificare che una VM abbia un'etichetta del criterio del sistema operativo di Ops Agent
Per vedere quali VM nel tuo progetto Google Cloud hanno l'etichetta del criterio del sistema operativo dell'agente operativo, goog-ops-agent-policy, utilizza la console Google Cloud o Google Cloud CLI.
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Seleziona il nome della VM.
Nel riquadro Informazioni di base, individua la voce Etichette.
Se la VM è coperta dal criterio di sistema operativo Ops Agent, ha un come
goog-ops-agent-policy:v2-x86-template-1-0-0.
gcloud
Per visualizzare tutte le VM con l'etichetta del criterio del sistema operativo di Ops Agent
goog-ops-agent-policy, esegui questo comando:
gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"
L'output mostra il nome, la zona e le etichette delle VM. Ad esempio:
NAME ZONE LABELS
test-vm1 us-central1-a {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
test-vm1 us-east4-c {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
Per verificare se una VM specifica ha l'etichetta del criterio del sistema operativo di Ops Agent, esegui il seguente comando:
gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME
L'output mostra un elenco di etichette per la VM. Se la VM ha
l'etichetta del criterio del sistema operativo Ops Agent, goog-ops-agent-policy
viene visualizzata nell'elenco labels. Ad esempio:
labels: goog-ops-agent-policy: v2-x86-template-1-0-0
Verifica che un'assegnazione dei criteri del sistema operativo di Ops Agent sia stata implementata correttamente
Visualizza le assegnazioni dei criteri del sistema operativo del progetto Google Cloud per verificare che il deployment di un'assegnazione dei criteri del sistema operativo di Ops Agent in una zona specifica è stato eseguito correttamente.
Console
-
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo:
Vai a Criteri del sistema operativo
Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato la cui Compute Engine.
Per visualizzare lo stato dell'implementazione dei criteri del sistema operativo, fai clic sulla scheda Assegnazioni dei criteri del sistema operativo.
Le assegnazioni dei criteri del sistema operativo dell'agente Ops hanno ID che iniziano con la stringa "goog-ops-agent". Se l'assegnazione è stata implementata correttamente, lo stato di implementazione è "Successo".
gcloud
Per visualizzare tutte le assegnazioni dei criteri del sistema operativo di Ops Agent in una zona, esegui il seguente comando:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
L'output mostra un elenco di assegnazioni dei criteri del sistema operativo di Ops Agent in una zona. Se l'assegnazione è stata implementata correttamente, lo stato di implementazione è "SUCCEEDED". Ad esempio:
ASSIGNMENT_ID ROLLOUT_STATE REVISION_CREATE_TIME REVISION_ID goog-ops-agent-v2-x86-template-1-4-0-us-central1-b SUCCEEDED 2023-01-28T05:23:41Z. 940df3e9-77fd-470b-84df-53fb24825c4a goog-ops-agent-v2-x86-template-1-0-0-us-central1-b SUCCEEDED 2022-01-28T05:23:41Z. qwareaff-efte-erew-aeet-faer234t4gga
Per visualizzare i dettagli di un'assegnazione dei criteri del sistema operativo di Ops Agent specifica, esegui il seguente comando:
gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE
Disinstalla Ops Agent sulle VM coperte dal criterio del sistema operativo di Ops Agent
Se manualmente
disinstallare Ops Agent su una VM coperta da Ops Agent
criterio di sistema operativo,
il criterio lo reinstalla. Per disinstallare Ops Agent, devi prima
rimuovi l'etichetta goog-ops-agent-policy dalla VM. Dopo aver rimosso l'etichetta del criterio di sistema operativo di Ops Agent da una VM, puoi disinstallare Ops Agent definitivamente.
Disinstalla Ops Agent su una VM specifica
Per rimuovere il criterio e disinstallare Ops Agent da una VM specifica, puoi utilizzare la console Google Cloud o gcloud CLI.
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Seleziona il nome della VM da modificare.
Fai clic su Modifica.
Vai alla sezione Etichette e fai clic su + Aggiungi etichette.
Individua l'etichetta con la chiave
goog-ops-agent-policye fai clic su Elimina elemento.
gcloud
Per rimuovere l'etichetta
goog-ops-agent-policyda una VM: esegui questo comando:gcloud compute instances update VM_NAME \ --remove-labels=goog-ops-agent-policy
Disinstalla l'agente operativo su tutte le VM
Per disinstallare Ops Agent dalle VM nella zona in cui è stato assegnato un criterio del sistema operativo di Ops Agent, utilizza lo script fornito da Cloud Monitoring. Non puoi disinstallare l'agente da un gruppo di VM usando la console Google Cloud.
Per eseguire lo script, devi disporre del
ruolo Editor di norme per gli ospiti (roles/osconfig.guestPolicyEditor).
Esegui lo script seguente in Cloud Shell. Puoi fornire un numero qualsiasi di zone:
curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh bash undo-ops-agent-policies.sh ZONE1 ZONE2
Lo script esegue le seguenti attività in ciascuna zona:
- Trova tutti i criteri del sistema operativo di Ops Agent.
- Modifica ogni criterio in modo da disinstallare l'agente operativo sulle VM coperte.
- Elimina il criterio del sistema operativo Ops Agent.
- Rimuove l'etichetta
goog-ops-agent-policyda ogni VM coperta.
Aggiungere la copertura dei criteri del sistema operativo dell'agente operativo a una VM esistente
Il criterio del sistema operativo di Ops Agent copre solo le VM
che hanno l'etichetta goog-ops-agent-policy e si trovano nella stessa zona di un
Assegnazione dei criteri del sistema operativo di Ops Agent. Tuttavia, puoi estendere la copertura ad altre VM
create senza il criterio del sistema operativo di Ops Agent
assegnate a loro.
Per estendere la copertura dei criteri a una VM, devi conoscere la versione modello di l'assegnazione dei criteri del sistema operativo di Ops Agent nella tua zona. Se la tua zona ha più assegnazioni dei criteri del sistema operativo di Ops Agent, individua l'assegnazione con la versione più recente del modello. Per mostrare un elenco di assegnazioni dei criteri del sistema operativo di Ops Agent in un esegui questo comando:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Per estendere la copertura dei criteri ad altre VM, utilizza la console Google Cloud oppure gcloud CLI:
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Nell'elenco Istanze VM, seleziona le caselle di controllo accanto alle VM da etichettare e poi fai clic su Etichette.
Per aggiungere etichette, fai clic su + Aggiungi etichetta e aggiungi la coppia chiave-valore. La chiave deve essere
goog-ops-agent-policye il valore è la versione del modello che preferisci, ad esempio1-0-0.Salva le modifiche.
gcloud
Per estendere la copertura dei criteri a una VM senza copertura, esegui i seguenti comandi:
gcloud compute instances update VM_NAME --zone=ZONE --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0
gcloud compute instances add-metadata VM_NAME --zone=ZONE --metadata=enable-osconfig=TRUE
Autorizzazione
L'installazione di Ops Agent utilizza VM Manager e richiede le autorizzazioni per attivare l'API VM Manager e creare un criterio. Il campo obbligatorio
le autorizzazioni siano disponibili
Ruolo di Editor (roles/Editor). Oppure puoi
chiedi a un amministratore del progetto di concedere le autorizzazioni minime utilizzando
Google Cloud CLI.
Autorizzazioni richieste per l'installazione di Ops Agent durante la creazione della VM:
serviceusage.services.getserviceusage.services.enableosconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.createosconfig.projectBillingConfigs.updatecompute.instances.create
Autorizzazioni richieste per installare Ops Agent sulle VM esistenti:
serviceusage.services.getserviceusage.services.enableosconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.createosconfig.projectBillingConfigs.updatecompute.instances.setMetadatacompute.instances.setLabels
Puoi trovare i ruoli corrispondenti che forniscono queste autorizzazioni nel riferimento ai ruoli di base e predefiniti IAM, con l'eccezione dell'autorizzazione osconfig.projectBillingConfigs.update. Questa
autorizzazione è inclusa nel ruolo osconfig.projectBillingConfig. Questo ruolo è
non disponibile nella console Google Cloud, ma può essere concesso tramite
con gcloud CLI.
Comandi di esempio per concedere ruoli per le autorizzazioni:
gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'