Se hai creato VM Compute Engine con l'agente operativo installato durante la creazione o, in alcuni casi, se hai installato l'agente su VM esistenti utilizzando la console Google Cloud, Google Cloud ha creato anche i criteri del sistema operativo di VM Manager che installano e monitorano l'agente operativo. Questo documento descrive come eseguire query sui criteri del sistema operativo di Ops Agent e gestire l'agente operativo sulle VM coperte dai criteri. Per informazioni sulla creazione di VM con Ops Agent installato automaticamente, consulta Installare Ops Agent durante la creazione della VM.
Dopo aver creato un criterio di sistema operativo di Ops Agent, puoi:
- Determina quali VM sono coperte dal criterio.
- Determina quali zone sono coperte dalle norme.
- Estendi la copertura dei criteri alle VM esistenti.
- Disinstalla l'agente da una VM coperta dal criterio.
Trovare le VM coperte dai criteri del sistema operativo di Ops Agent
Puoi utilizzare la console Google Cloud o Google Cloud CLI per vedere le VM del tuo progetto Google Cloud coperte dai criteri del sistema operativo di Ops Agent tramite un'assegnazione dei criteri del sistema operativo. Se ritieni che per una VM manchi la copertura, puoi risolvere il problema nel seguente modo:
- Verifica che una VM abbia un'etichetta dei criteri del sistema operativo Ops Agent.
- Verifica che l'assegnazione dei criteri del sistema operativo di un agente Ops sia stata eseguita correttamente.
Verifica che un criterio del sistema operativo di Ops Agent sia assegnato alle VM in una zona
Per verificare che le VM in una zona siano coperte dal criterio del sistema operativo dell'agente Ops, utilizza la console Google Cloud o la CLI gcloud per vedere se la VM è correlata a un'assegnazione del criterio del sistema operativo dell'agente Ops.
Console
-
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo:
Vai a Criteri del sistema operativo
Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato la cui Compute Engine.
Nella scheda Istanze VM, seleziona la VM che vuoi controllare.
Se la VM è coperta da un criterio di sistema operativo di Ops Agent, la colonna ID criterio di sistema operativo include
goog-ops-agent-policye lo stato è "Conforme".
gcloud
Per visualizzare un elenco delle assegnazioni dei criteri del sistema operativo di Ops Agent in una zona, esegui il seguente comando:
gcloud compute os-config os-policy-assignment-reports list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
L'output mostra un elenco di VM con un'assegnazione di criteri OS di Ops Agent. Se l'agente operativo è installato sulla VM, la colonna Riepilogo ha un valore "1/1 criteri conformi".
INSTANCE ASSIGNMENT_ID LOCATION UPDATE_TIME SUMMARY instance-1 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant instance-3 goog-ops-agent-v2-x86-template-1-0-0-us-east4-c us-east4-c 2023-04-28T02:11:15.118088Z 1/1 policies compliant
Verifica che una VM abbia un'etichetta dei criteri del sistema operativo Ops Agent
Per vedere quali VM nel tuo progetto Google Cloud hanno l'etichetta del criterio del sistema operativo dell'agente operativo, goog-ops-agent-policy, utilizza la console Google Cloud o Google Cloud CLI.
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Seleziona il nome della VM.
Nel riquadro Informazioni di base, individua la voce Etichette.
Se la VM è coperta dal criterio di sistema operativo Ops Agent, ha un come
goog-ops-agent-policy:v2-x86-template-1-0-0.
gcloud
Per visualizzare tutte le VM con l'etichetta del criterio del sistema operativo di Ops Agent
goog-ops-agent-policy, esegui questo comando:
gcloud compute instances list --format="table(name,zone,labels)" --filter="labels=goog-ops-agent-policy"
L'output mostra il nome, la zona e le etichette delle VM. Ad esempio:
NAME ZONE LABELS
test-vm1 us-central1-a {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
test-vm1 us-east4-c {'goog-ops-agent-policy': 'v2-x86-template-1-0-0'}
Per verificare se una VM specifica ha l'etichetta del criterio del sistema operativo di Ops Agent, esegui il seguente comando:
gcloud compute instances describe --format "yaml(labels)" --zone=ZONE VM_NAME
L'output mostra un elenco di etichette per la VM. Se la VM ha
l'etichetta del criterio del sistema operativo Ops Agent, goog-ops-agent-policy
viene visualizzata nell'elenco labels. Ad esempio:
labels: goog-ops-agent-policy: v2-x86-template-1-0-0
Verificare che l'implementazione di un'assegnazione dei criteri del sistema operativo dell'agente di gestione sia andata a buon fine
Visualizza le assegnazioni dei criteri del sistema operativo del progetto Google Cloud per verificare che un'assegnazione del criterio del sistema operativo di Ops Agent sia stata implementata correttamente in una zona specifica.
Console
-
Nella console Google Cloud, vai alla pagina Criteri del sistema operativo:
Vai a Criteri del sistema operativo
Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato la cui Compute Engine.
Per visualizzare lo stato delle implementazioni dei criteri del sistema operativo, fai clic sulle assegnazioni dei criteri del sistema operativo. .
Le assegnazioni dei criteri del sistema operativo di Ops Agent hanno ID che iniziano con la stringa "goog-ops-agent". Se l'assegnazione è stata implementata correttamente, lo stato di implementazione è "Successo".
gcloud
Per visualizzare tutte le assegnazioni dei criteri del sistema operativo di Ops Agent in una zona, esegui questo comando:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
L'output mostra un elenco di assegnazioni dei criteri del sistema operativo di Ops Agent in una zona. Se l'assegnazione è stata implementata correttamente, lo stato di implementazione è "SUCCEEDED". Ad esempio:
ASSIGNMENT_ID ROLLOUT_STATE REVISION_CREATE_TIME REVISION_ID goog-ops-agent-v2-x86-template-1-4-0-us-central1-b SUCCEEDED 2023-01-28T05:23:41Z. 940df3e9-77fd-470b-84df-53fb24825c4a goog-ops-agent-v2-x86-template-1-0-0-us-central1-b SUCCEEDED 2022-01-28T05:23:41Z. qwareaff-efte-erew-aeet-faer234t4gga
Per visualizzare i dettagli di un'assegnazione specifica dei criteri del sistema operativo di Ops Agent: esegui questo comando:
gcloud compute os-config os-policy-assignments describe POLICY_ASSIGNMENT_ID --location=ZONE
Disinstalla Ops Agent sulle VM coperte dal criterio del sistema operativo di Ops Agent
Se manualmente
disinstallare Ops Agent su una VM coperta da Ops Agent
criterio di sistema operativo,
il criterio lo reinstalla. Per disinstallare Ops Agent, devi prima rimuovere l'etichetta goog-ops-agent-policy dalla VM. Dopo aver rimosso
Etichetta del criterio del sistema operativo di Ops Agent da una VM, puoi disinstallare Ops Agent
definitivamente.
Disinstallare l'agente operativo su una VM specifica
Per rimuovere il criterio e disinstallare Ops Agent da una VM specifica, puoi utilizza la console Google Cloud o gcloud CLI.
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Seleziona il nome della VM che vuoi modificare.
Fai clic su Modifica.
Vai alla sezione Etichette e fai clic su + Aggiungi etichette.
Individua l'etichetta con la chiave
goog-ops-agent-policye fai clic Elimina elemento.
gcloud
Per rimuovere l'etichetta
goog-ops-agent-policyda una VM, esegui il seguente comando:gcloud compute instances update VM_NAME \ --remove-labels=goog-ops-agent-policy
Disinstalla Ops Agent su tutte le VM
Per disinstallare Ops Agent dalle VM nella zona in cui è stato assegnato un criterio del sistema operativo di Ops Agent, utilizza lo script fornito da Cloud Monitoring. Non puoi disinstallare l'agente da un gruppo di VM utilizzando la console Google Cloud.
Per eseguire lo script, devi disporre del
ruolo Editor di GuestPolicy (roles/osconfig.guestPolicyEditor).
Esegui il seguente script in Cloud Shell. Puoi specificare qualsiasi numero delle zone:
curl -sSO https://dl.google.com/cloudagents/undo-ops-agent-policies.sh bash undo-ops-agent-policies.sh ZONE1 ZONE2
Lo script esegue le seguenti attività in ogni zona:
- Trova tutti i criteri del sistema operativo di Ops Agent.
- Modifica ogni criterio in modo da disinstallare l'agente operativo sulle VM coperte.
- Elimina il criterio del sistema operativo Ops Agent.
- Rimuove l'etichetta
goog-ops-agent-policyda ogni VM coperta.
Aggiungi la copertura dei criteri del sistema operativo di Ops Agent a una VM esistente
Il criterio del sistema operativo di Ops Agent riguarda solo le VM con l'etichetta goog-ops-agent-policy e che si trovano nella stessa zona di un'assegnazione esistente del criterio del sistema operativo di Ops Agent. Tuttavia, puoi estendere la copertura ad altre VM
che sono state create senza il criterio OS di Ops Agent
assegnato.
Per estendere la copertura dei criteri a una VM, devi conoscere la versione del modello dell'assegnazione dei criteri del sistema operativo di Ops Agent nella tua zona. Se la tua zona ha più assegnazioni dei criteri del sistema operativo di Ops Agent, individua l'assegnazione con la versione più recente del modello. Per visualizzare un elenco delle assegnazioni dei criteri del sistema operativo di Ops Agent in una zona, esegui il seguente comando:
gcloud compute os-config os-policy-assignments list --location=ZONE --filter="ASSIGNMENT_ID ~ goog-ops-agent"
Per estendere la copertura dei criteri ad altre VM, utilizza la console Google Cloud oppure gcloud CLI:
Console
-
Nella console Google Cloud, vai alla pagina Istanze VM:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Compute Engine.
Nell'elenco Istanze VM, seleziona le caselle di controllo accanto alle VM che da etichettare, quindi fai clic su Etichette.
Per aggiungere etichette, fai clic su + Aggiungi etichetta e aggiungi la coppia chiave-valore. La chiave deve essere
goog-ops-agent-policye il valore è la versione del modello che ti interessa, ad esempio1-0-0.Salva le modifiche.
gcloud
Per estendere la copertura dei criteri a una VM senza copertura, esegui questi comandi:
gcloud compute instances update VM_NAME --zone=ZONE --update-labels=goog-ops-agent-policy:v2-x86-template-1-0-0
gcloud compute instances add-metadata VM_NAME --zone=ZONE --metadata=enable-osconfig=TRUE
Autorizzazione
L'installazione di Ops Agent utilizza VM Manager e richiede le autorizzazioni per
attivare l'API VM Manager e creare un criterio. Tutte le autorizzazioni obbligatorie sono disponibili tramite il ruolo Editor (roles/Editor). In alternativa, puoi chiedere a un amministratore del progetto di concedere le autorizzazioni minime utilizzando Google Cloud CLI.
Autorizzazioni richieste per l'installazione di Ops Agent durante la creazione della VM:
serviceusage.services.getserviceusage.services.enableosconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.createosconfig.projectBillingConfigs.updatecompute.instances.create
Autorizzazioni richieste per installare Ops Agent sulle VM esistenti:
serviceusage.services.getserviceusage.services.enableosconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.createosconfig.projectBillingConfigs.updatecompute.instances.setMetadatacompute.instances.setLabels
Puoi trovare i ruoli corrispondenti che forniscono queste autorizzazioni nel riferimento ai ruoli di base e predefiniti IAM, con l'eccezione dell'autorizzazione osconfig.projectBillingConfigs.update. Questa
autorizzazione è inclusa nel ruolo osconfig.projectBillingConfig. Questo ruolo non è disponibile nella console Google Cloud, ma può essere concesso tramite gcloud CLI.
Comandi di esempio per concedere ruoli per le autorizzazioni:
gcloud projects add-iam-policy-binding project-id --member='user:user-email' --role='roles/osconfig.projectBillingConfigEditor'