ניהול של משימות להחלת תיקונים

אחרי יצירת הטמעת תיקון, אפשר להשתמש בהליכים הבאים כדי לבדוק ולנהל את התיקונים:

• רשימת עבודות תיקון: הצגת רשימה של כל העבודות הפעילות והעבודות שהושלמו.
• הצגת פרטים של מכונות וירטואליות: בדיקת סטטוס הטלאי של המכונות הווירטואליות.
• ‫Describe patch job: קבלת פרטים על משימת תיקון ספציפית.
• ביטול של משימת תיקון: ביטול של משימת תיקון ספציפית.

אפשר לנהל את עבודות הטלאים באמצעות Cloud de Confiance מסוף, Google Cloud CLI או REST.

לפני שמתחילים

• בודקים את המכסות של OS Config.
• אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

  צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

  המסוף

  כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

  gcloud

  1. התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:

     gcloud init

• הגדרת אזור ותחום כברירת מחדל

REST

כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.

מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .

הרשאות

לבעלים של פרויקט יש גישה מלאה להרצת משימות של תיקון ולניהול שלהן. לכל שאר המשתמשים, צריך להעניק הרשאות. אפשר להעניק את אחד מהתפקידים הבאים עם הרשאות מפורטות:

• ‫roles/osconfig.patchJobExecutor: מכיל הרשאות להרצה, לביטול, לקבלת רשימה ולרישום של משימות תיקון. ההרשאה כוללת גם את האפשרות לראות את פרטי המופע של עבודת תיקון.
• ‫roles/osconfig.patchJobViewer: מכיל הרשאות לגישה לקריאה בלבד כדי לקבל ולרשום משימות תיקון. ההרשאה כוללת גם הרשאות לצפייה בפרטי מופע של עבודת תיקון.

הצגת רשימה של משימות הטמעת תיקונים

לראות רשימה של כל העבודות הפעילות והעבודות שהושלמו.

gcloud compute os-config patch-jobs list

ID                                          NAME    DESCRIPTION               CREATE_TIME               UPDATE_TIME               STATE                  TARGETED_INSTANCES
23b0815e-1c94-4dc6-91b1-30a6da395cb9                                          2019-11-05T20:22:54.150Z  2019-11-06T19:40:08.641Z  COMPLETED_WITH_ERRORS  4
4116ad72-bd57-4e48-94dc-7a577dc707b6                                          2019-08-23T20:36:03.068Z  2019-08-23T20:36:15.984Z  CANCELED               2
06856cbe-9a7b-498e-9105-9ae4eb566511                                          2019-08-12T20:27:38.410Z  2019-08-12T20:28:37.583Z  SUCCEEDED              1
04a15964-9eaa-4282-96f5-9cd535352cf6                                          2019-08-12T17:48:22.938Z  2019-08-12T17:48:42.274Z  SUCCEEDED              0
21dc1e06-deee-4e3a-821e-8082a32abde5                testing patch job reboot  2019-07-24T22:45:07.451Z  2019-07-25T00:44:44.459Z  TIMED_OUT              1

gcloud compute os-config patch-jobs list \
   --filter="state=SUCCEEDED" \
   --sort-by="create_time" --uri

https://osconfig.googleapis.com/v1/projects/1234567/patchJobs/04a15964-9eaa-4282-96f5-9cd535352cf6
https://osconfig.googleapis.com/v1/projects/1234567/patchJobs/06856cbe-9a7b-498e-9105-9ae4eb566511

GET https://osconfig.googleapis.com/v1/projects/project-id/patchJobs

הצגת כל הפרטים של מכונות ה-VM במשימת תיקון ספציפית

כדי לראות את הרשימה המלאה של מכונות וירטואליות שמשתמשות בניהול תיקוני אבטחה של מערכת ההפעלה, בודקים את הסטטוס של משימת תיקון האבטחה.

gcloud compute os-config patch-jobs list-instance-details patch-job-id

gcloud compute os-config patch-jobs list-instance-details 23b0815e-1c94-4dc6-91b1-30a6da395cb9

NAME                        ZONE           STATE      FAILURE_REASON
instance-1                  us-central1-a  SUCCEEDED
guest-policy-test-instance  us-east1-c     TIMED_OUT  Instance timed out while in state: APPLYING_PATCHES after PT1H2.225S
my-centos                   us-west1-b     SUCCEEDED
my-windows                  us-west1-b     FAILED     Error running pre-patch step: fork/exec /tmp/pre_patch_script.sh: no such file ..."

gcloud compute os-config patch-jobs list-instance-details patch-job-id \
   --filter="state=INACTIVE" \
   --sort-by="~name"

GET https://osconfig.googleapis.com/v1/projects/project-id/patchJobs/patch-job-id/instanceDetails

תיאור של משימות תיקון

בדיקת מידע מפורט על משימת תיקון.

gcloud compute os-config patch-jobs describe patch-job-id

gcloud compute os-config patch-jobs describe 23b0815e-1c94-4dc6-91b1-30a6da395cb9

createTime: '2019-11-05T20:22:54.150Z'
errorMessage: Completed with 2 instance failure(s).
filter: id=*
instanceDetailsSummary:
  instancesFailed: '1'
  instancesSucceeded: '2'
  instancesTimedOut: '1'
instanceFilter: {}
name: projects/1234567/patchJobs/23b0815e-1c94-4dc6-91b1-30a6da395cb9
patchConfig: {}
percentComplete: 100.0
state: COMPLETED_WITH_ERRORS
updateTime: '2019-11-06T19:40:08.641Z'

GET https://osconfig.googleapis.com/v1/projects/project-id/patchJobs/patch-job-id

ביטול משימות של עדכוני אבטחה

כשמבטלים עבודת תיקון, סוכן OS Config מסיים את משימת המשנה שהוא מבצע, אבל לא ממשיך אחרי זה. משימת משנה היא משימה שהסוכן מבצע ואי אפשר לעצור אותה.

לדוגמה, אם עבודת התיקון מבוטלת בזמן שהפעלת ה-VM מחדש, ההפעלה מחדש (וכל תיקון אוטומטי פוטנציאלי אחרי ההפעלה מחדש) עדיין יפעל עד להשלמה, אבל הסוכן לא יפעיל משימות נוספות עבור עבודת התיקון הזו.

gcloud compute os-config patch-jobs cancel patch-job-id

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs/patch-job-id:cancel

מה השלב הבא?

• מידע נוסף על תיקון
• מידע נוסף על סטטוס התאימות של תיקון
• יצירת תיקון
• תזמון של משימות תיקון.