הגדרת VM Manager

ב-Compute Engine אפשר לנהל את מערכות ההפעלה שפועלות במכונות הווירטואליות (VM) באמצעות VM Manager.

אפשר להפעיל את VM Manager למכונות וירטואליות ספציפיות, לפרויקט או לכל הפרויקטים בתיקייה או בארגון. כדי לעיין בשלבים הנדרשים להגדרת מכונות וירטואליות לשימוש ב-VM Manager, אפשר לעיין במאמר סקירה כללית של ההגדרה.

אחרי שמגדירים את VM Manager, אפשר לראות את יומני הביקורת של פעולות ה-API שבוצעו באמצעות OS Config API. למידע נוסף, אפשר לעיין במאמר בנושא הצגת יומני הביקורת של VM Manager.

לפני שמתחילים

  • בודקים את המכסות של OS Config בפרויקט.
  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

    gcloud

    1. התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init
  • הגדרת אזור ותחום כברירת מחדל

    • REST

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

      התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.

    מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .

מערכות הפעלה נתמכות

רשימה מלאה של גרסאות מערכות הפעלה שתומכות ב-VM Manager זמינה כאן. אם סוכן ההגדרה של מערכת ההפעלה לא זמין למערכת הפעלה מסוימת, אי אפשר להפעיל את VM Manager עבור מכונה וירטואלית שמופעלת על מערכת ההפעלה הזו.

הפעלת OS Config service API

אפשר להפעיל את OS Config API בפרויקטים ב- Cloud de Confiance by S3NS באמצעות אחת מהשיטות הבאות:

התפקידים הנדרשים

כדי לקבל את ההרשאה שנדרשת להפעלת ה-API, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM ‏Service Usage Admin (roles/serviceusage.serviceUsageAdmin) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד שמוגדר מראש מכיל את ההרשאה serviceusage.services.enable, שנדרשת כדי להפעיל את ה-API.

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

הפעלת OS Config API בפרויקט יחיד

ב Cloud de Confiance פרויקט, מפעילים את OS Config API.

המסוף

  1. במסוף Cloud de Confiance , בוחרים את הפרויקט שרוצים להפעיל בו את ה-API.
  2. עוברים לדף OS Config API.

    ל-OS Config API

  3. לוחצים על Enable.

gcloud

כדי להפעיל את ה-API, מריצים את הפקודה הבאה:

gcloud services enable osconfig.googleapis.com --project=PROJECT_ID

מחליפים את PROJECT_ID במזהה הפרויקט.

הפעלת OS Config API למספר פרויקטים

כדי להפעיל את OS Config API (VM Manager API) לכל הפרויקטים בארגון או בתיקייה, משתמשים בהפעלה היררכית של שירותים. התכונה הזו מפעילה באופן אוטומטי שירות לכל הפרויקטים הקיימים והחדשים בהיררכיית המשאבים שלכם ב- Cloud de Confiance , כך שלא צריך להפעיל את השירות באופן ידני לכל פרויקט.

מידע נוסף על הפעלה היררכית של שירותים זמין במאמר סקירה כללית על הפעלה היררכית של שירותים.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות לניהול הפעלת שירותים, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Service Usage Admin (roles/serviceusage.serviceUsageAdmin) במשאב היעד. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות לניהול הפעלת השירות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל את הפעלת השירותים, צריך את ההרשאות הבאות:

  • הצגת רשימת השירותים:
    • serviceusage.effectivepolicy.get
    • serviceusage.services.list
    • serviceusage.services.get
  • הפעלת שירותים:
    • serviceusage.consumerpolicy.get
    • serviceusage.consumerpolicy.update
    • serviceusage.groups.listExpandedMembers
  • השבתת שירותים:
    • serviceusage.consumerpolicy.get
    • serviceusage.consumerpolicy.update
    • serviceusage.consumerpolicy.analyze

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

תיקייה

כדי להפעיל את OS Config API לכל הפרויקטים בתיקייה, מריצים את הפקודה הבאה:

gcloud beta services enable osconfig.googleapis.com \
    --folder=FOLDER_ID

מחליפים את FOLDER_ID במזהה התיקייה.

ארגון

כדי להפעיל את OS Config API לכל הפרויקטים בארגון, מריצים את הפקודה הבאה:

gcloud beta services enable osconfig.googleapis.com \
    --organization=ORGANIZATION_ID

מחליפים את ORGANIZATION_ID במזהה הארגון.

הגדרת המטא-נתונים של VM Manager באמצעות מדיניות הארגון

אפשר להגדיר באופן אוטומטי את המטא-נתונים של VM Manager לכל המכונות הווירטואליות החדשות בארגון, בתיקייה או בפרויקט באמצעות מדיניות הארגון Require OS Config.

כשמגדירים את האילוץ הבוליאני Require OS Config, התנאים הבאים חלים:

  • השדה enable-osconfig=TRUE כלול במטא-נתונים של הפרויקט בכל הפרויקטים החדשים.
  • בקשות שבהן הערך של enable-osconfig הוא FALSE במטא-נתונים של מכונה או פרויקט נדחות, גם במכונות וירטואליות ופרויקטים חדשים וגם בקיימים.
  • מדיניות הארגון הזו לא משנה את ערך המטא-נתונים enable-osconfig ל-TRUE במכונות וירטואליות או בפרויקטים שנוצרו לפני הפעלת המדיניות. אם רוצים להפעיל את VM Manager במכונות הווירטואליות או בפרויקטים האלה, מומלץ לעדכן את המטא-נתונים. מידע נוסף מופיע במאמר הגדרת ערכי המטא-נתונים.

גם כשמדיניות הארגון של OS Config מופעלת, עדיין אפשר להשתמש במטא-נתונים osconfig-disabled-features כדי להשבית תכונה אחת או יותר של VM Manager.

הפעלת מדיניות הארגון של OS Config

כדי להפעיל את מדיניות OS Config, אפשר להגדיר את האילוץ Require OS Config בכל הארגון, בתיקיות או בפרויקטים ספציפיים באמצעות מסוף Google Cloud או Google Cloud CLI.Cloud de Confiance

המסוף

כדי להגדיר את מדיניות הארגון של OS Config מהמסוף, מבצעים את השלבים הבאים:

  1. במסוף Cloud de Confiance , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט, התיקייה או הארגון שרוצים לערוך את מדיניות הארגון שלהם.

  3. בדף Organization policies מוצגת רשימה של מגבלות מדיניות הארגון שניתנות לסינון.

  4. בוחרים את האילוץ Require OS Config מתוך רשימת האילוצים. בדף Policy details שמופיע מתואר האילוץ ומסופק מידע על אופן ההחלה שלו.

  5. כדי לעדכן את מדיניות הארגון של המשאב הזה, לוחצים על ניהול מדיניות.

  6. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  7. בוחרים באפשרות הוספת כלל.

  8. בקטע Enforcement (אכיפה), בוחרים אם להפעיל את האכיפה של מדיניות הארגון הזו.

  9. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

gcloud

כדי להגדיר את מדיניות הארגון של OS Config, משתמשים בפקודה gcloud beta resource-manager org-policies enable-enforce.

  1. מציאת מזהה הארגון.

    gcloud organizations list

  2. מגדירים את האילוץ בארגון. מחליפים את organization-id במזהה הארגון.

    gcloud resource-manager org-policies enable-enforce compute.requireOsConfig \
    --organization=organization-id

אפשר גם להחיל את מדיניות הארגון של OS Config על תיקייה או פרויקט באמצעות הדגלים --folder או --project, וכן מזהה התיקייה ומזהה הפרויקט, בהתאמה.

לתיקיות, מריצים את הפקודה הבאה:

gcloud resource-manager org-policies enable-enforce compute.requireOsConfig \
    --folder=folder-id

לפרויקטים, מריצים את הפקודה הבאה:

gcloud resource-manager org-policies enable-enforce compute.requireOsConfig \
    --project=project-id

מחליפים את מה שכתוב בשדות הבאים:

הפעלת VM Manager בפרויקט

כדי להפעיל את VM Manager בפרויקט, יש שתי אפשרויות:

  • הפעלה אוטומטית: חלה על כל Cloud de Confiance הפרויקט. אתם מבצעים את ההפעלה האוטומטית דרך Cloud de Confiance המסוף. יכול להיות שתצטרכו לבצע כמה שלבים באופן ידני.

  • הפעלה ידנית: אפשר להפעיל את התכונה לכל מכונה וירטואלית או לכל הפרויקט. Cloud de Confiance

גלילה ידנית

כדי להגדיר את VM Manager באופן ידני:

  1. בפרויקט Cloud de Confiance , מפעילים את OS Config API.
  2. בכל מכונה וירטואלית, בודקים אם הסוכן של OS Config מותקן. אם הסוכן עדיין לא מותקן, מתקינים את הסוכן של OS Config.
  3. בפרויקט או בכל מכונה וירטואלית, מגדירים מטא-נתונים של המכונה לסוכן OS Config. השלב הזה נדרש כדי להפעיל את סוכן OS Config במכונה הווירטואלית או בפרויקט.
  4. מוודאים שלכל המכונות הווירטואליות יש חשבון שירות שמחובר אליהן. אין צורך להקצות תפקידי IAM לחשבון השירות הזה. VM Manager משתמש בחשבון השירות הזה כדי לחתום על בקשות לשירות ה-API.
  5. אם המכונה הווירטואלית פועלת ברשת פרטית של ענן וירטואלי פרטי (VPC) ואין לה גישה לאינטרנט הציבורי, צריך להפעיל גישה פרטית ל-Google.
  6. אם אתם משתמשים ב-HTTP proxy למכונות הווירטואליות, צריך להגדיר HTTP proxy.
  7. אופציונלי. בפרויקט או בכל מכונה וירטואלית, משביתים את התכונות שלא צריך.

אוטומטי

בפעם הראשונה שאתם עוברים לאחד מהדפים של VM Manager במסוףCloud de Confiance , אתם יכולים לבחור להפעיל את VM Manager באופן אוטומטי.

אם פועלים לפי השלבים המודרכים, אפשר להשתמש בהפעלה האוטומטית כדי לבצע את הפעולות הבאות:

  • הפעלת VM Manager ‏ (OS Config API) ב Cloud de Confiance פרויקט
  • הפעלת סוכני OS Config בכל המכונות הווירטואליות בפרויקט Cloud de Confiance שבהן הסוכן מותקן

הפעלה אוטומטית.

בדיקה אם סוכן OS Config מותקן

הסוכן OS Config מותקן כברירת מחדל בתמונות של CentOS,‏ מערכת הפעלה שמותאמת לקונטיינרים (COS),‏ Debian,‏ Red Hat Enterprise Linux‏ (RHEL),‏ Rocky Linux,‏ SLES,‏ Ubuntu ו-Windows Server עם תאריך בנייה של v20200114 ואילך. מידע על הגרסאות של מערכות ההפעלה שבהן מותקן הסוכן OS Config זמין במאמר פרטים על מערכת ההפעלה. הסוכנים האלה פועלים במצב סרק עד שמפעילים את המטא-נתונים של הסוכן ומפעילים את ה-API של השירות.

Linux

כדי לבדוק אם הסוכן מותקן במכונת ה-VM של Linux, מריצים את הפקודה הבאה:

sudo systemctl status google-osconfig-agent

אם הסוכן מותקן ופועל, הפלט ייראה כך:

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

אם הסוכן לא מותקן, צריך להתקין את הסוכן של OS Config.

Windows

כדי לבדוק אם הסוכן מותקן במכונת ה-VM של Windows, מריצים את הפקודה הבאה:

PowerShell Get-Service google_osconfig_agent

אם הסוכן מותקן ופועל, הפלט ייראה כך:

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

אם הסוכן לא מותקן, צריך להתקין את הסוכן של OS Config.

התקנת הסוכן של OS Config

לפני שמבצעים את השלבים הבאים להתקנת הסוכן, צריך לבדוק אם הסוכן כבר פועל במכונה הווירטואלית.

בכל מכונה וירטואלית, מתקינים את סוכן OS Config. אפשר להתקין את הסוכן של OS Config באחת מהדרכים הבאות:

התקנה ידנית של הסוכן

משתמשים באפשרות הזו כדי להתקין את סוכן ה-OS Config במכונה וירטואלית קיימת.

כדי להתקין את הסוכן, מבצעים את השלבים הבאים:

  1. מתחברים למכונה הווירטואלית שרוצים להתקין בה את סוכן OS Config.

  2. מתקינים את סוכן OS Config.

    Windows Server

    כדי להתקין את סוכן OS Config בשרת Windows, מריצים את הפקודה הבאה:

    googet -noconfirm install google-osconfig-agent

    Ubuntu

    כדי להתקין את סוכן OS Config במכונת VM של Ubuntu, מריצים את הפקודות הבאות:

    1. מגדירים את מאגר Ubuntu.

      • ב-Ubuntu 20.04 ובגרסאות מתקדמות יותר, מריצים את הפקודות הבאות:

        1. מוסיפים את מאגר Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

        2. מייבאים את Cloud de Confiance המפתח הציבורי.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

      • ב-Ubuntu 18.04 ובגרסאות מתקדמות יותר, מריצים את הפקודות הבאות:

        1. מוסיפים את מאגר Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
/etc/apt/sources.list.d/google-compute-engine.list"

        2. מייבאים את Cloud de Confiance המפתח הציבורי.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

      • ב-Ubuntu 16.04, מריצים את הפקודות הבאות:

        1. מוסיפים את מאגר Ubuntu.

          sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
/etc/apt/sources.list.d/google-compute-engine.list"

        2. מייבאים את Cloud de Confiance by S3NS המפתח הציבורי.

          curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
sudo apt-key add -

    2. מתקינים את סוכן OS Config.

      sudo apt update
sudo apt -y install google-osconfig-agent

    Debian

    כדי להתקין את הסוכן של OS Config במכונת Debian וירטואלית, מריצים את הפקודות הבאות:

    sudo apt update
sudo apt -y install google-osconfig-agent
    Cloud de Confiance

    הוספת מאגר Cloud de Confiance ומפתח ציבורי

    אם אתם משתמשים במופע של מכונה וירטואלית שלא נוצר מתמונה שסופקה על ידי Google או שקיבלתם הודעת שגיאה 'לא ניתן לאתר חבילה', צריך לבצע את השלבים הבאים כדי להוסיף את מאגר המידע ולייבא את המפתח הציבורי. Cloud de Confiance

    אחרי שמוסיפים את המאגר ומייבאים את המפתח, אפשר להריץ את הפקודות כדי להתקין את הסוכן של OS Config.

    1. מגדירים את מאגר הענן של Debian:

      ‫Debian 13 ואילך

      1. מתקינים את מפתח ה-GPG של המאגר הציבורי ב-/etc/apt/keyrings:

        sudo curl https://packages.cloud.google.com/apt/doc/apt-key.gpg -o /etc/apt/keyrings/google-keyring.gpg

      2. קובעים את שם הפצת Debian. לאחר מכן, יוצרים את קובץ רשימת המקורות, /etc/apt/sources.list.d/google-cloud.list:

        eval $(grep VERSION_CODENAME /etc/os-release)
sudo tee /etc/apt/sources.list.d/google-cloud.list << EOM
deb [signed-by=/etc/apt/keyrings/google-keyring.gpg] http://packages.cloud.google.com/apt google-compute-engine-${VERSION_CODENAME}-stable main
EOM

      ‫Debian 12 וגרסאות קודמות

      1. מתקינים את מפתח ה-GPG של המאגר הציבורי:

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | sudo apt-key add -

      2. קובעים את שם הפצת Debian. לאחר מכן יוצרים את קובץ רשימת המקורות, /etc/apt/sources.list.d/google-cloud.list:

        eval $(grep VERSION_CODENAME /etc/os-release)
sudo tee /etc/apt/sources.list.d/google-cloud.list << EOM
deb http://packages.cloud.google.com/apt google-compute-engine-${VERSION_CODENAME}-stable main
deb http://packages.cloud.google.com/apt google-cloud-packages-archive-keyring-${VERSION_CODENAME} main
EOM

    RHEL/CentOS/Rocky

    כדי להתקין את סוכן OS Config במכונה וירטואלית של RHEL 7/8, ‏ CentOS 7/8 או Rocky Linux 8/9, מריצים את הפקודה הבאה:

    sudo yum -y install google-osconfig-agent

    SLES/openSUSE

    כדי להתקין את סוכן OS Config במכונת SLES או openSUSE VM, מריצים את הפקודות הבאות:

    1. מגדירים את מאגר SLES.

      • ב-SLES 12, מריצים את הפקודה הבאה:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

      • ב-SLES 15 וב-OpenSUSE 15, מריצים את הפקודה הבאה:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
[google-compute-engine]
name=Google Compute Engine
baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
enabled=1
gpgcheck=1
repo_gpgcheck=0
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
  https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOM"

    2. מייבאים את מפתחות ה-GPG של Cloud de Confiance.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
--import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg

    3. מתקינים את סוכן OS Config.

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent

התקנת הסוכן באמצעות סקריפט לטעינה בזמן ההפעלה

אפשר גם להשתמש בפקודות ההתקנה הידניות כדי ליצור סקריפט לטעינה בזמן ההפעלה שמתקין את סוכן OS Config במהלך יצירת המכונה הווירטואלית.

  1. מעתיקים את הפקודות הידניות למערכת ההפעלה שלכם.

  2. מספקים את הסקריפט לטעינה בזמן ההפעלה לשיטה ליצירת מכונות וירטואליות.

    לדוגמה, אם אתם משתמשים בפקודה gcloud compute instances create כדי ליצור מכונת VM של Debian 10, הפקודה שלכם תיראה כך:

    gcloud compute instances create VM_NAME \
   --image-family=debian-10 --image-project=debian-cloud \
   --metadata startup-script='#! /bin/bash
   apt update
   apt -y install google-osconfig-agent'

    מחליפים את VM_NAME בשם של המכונה הווירטואלית.

  3. מוודאים שסקריפט לטעינה בזמן ההפעלה מסתיים. כדי לוודא שהסקריפט להפעלה הושלם, בודקים את היומנים או את המסוף הטורי.

הגדרת ערכי המטא-נתונים

אפשר להגדיר מטא-נתונים של מכונה וירטואלית בכל מכונה וירטואלית, או מטא-נתונים של פרויקט שחלים על כל המכונות הווירטואליות בפרויקט.

בפרויקט או במכונה הווירטואלית, מגדירים את ערך המטא-נתונים enable-osconfig ל-TRUE. Cloud de Confiance הגדרת ערך המטא-נתונים enable-osconfig ל-TRUE מאפשרת את הפעולות הבאות:

  • תיקון
  • מדיניות מערכת ההפעלה
  • OS inventory management
    • בגרסה הקודמת של ניהול מלאי מערכות ההפעלה, צריך גם להגדיר את ערך המטא-נתונים enable-guest-attributes ל-TRUE. אם שני ערכי המטא-נתונים לא מוגדרים, בלוח הבקרה מוצג הערך no data עבור המכונה הווירטואלית. הפעולה הזו לא נדרשת בגרסה החדשה. מידע על שתי הגרסאות של ניהול מלאי מערכות הפעלה זמין במאמר גרסאות של ניהול מלאי מערכות הפעלה.

המסוף

אפשר להחיל את ערכי המטא-נתונים על Cloud de Confiance פרויקטים או מכונות וירטואליות באמצעות אחת מהאפשרויות הבאות:

  • אפשרות 1: מגדירים את enable-osconfig במטא-נתונים של הפרויקט, כך שההגדרה תחול על כל המכונות הווירטואליות בפרויקט.

    1. נכנסים לדף Metadata במסוף Cloud de Confiance .

      מעבר אל Metadata

    2. לוחצים על Edit.

    3. מוסיפים את רשומת המטא-נתונים הבאה:

      מפתח: enable-osconfig
      ערך: TRUE

      בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

      • מפתח: enable-osconfig
        ערך: TRUE
      • מפתח: enable-guest-attributes
        ערך: TRUE

    4. לוחצים על שמירה כדי להחיל את השינויים.

  • אפשרות 2: מגדירים את enable-osconfig במטא-נתונים של המכונה הווירטואלית כשיוצרים מופע.

    1. נכנסים לדף Create an instance במסוף Cloud de Confiance .

      כניסה לדף Create an instance

    2. מציינים את פרטי המכונה הווירטואלית.

    3. מרחיבים את הקטע אפשרויות מתקדמות ומבצעים את הפעולות הבאות:

      1. מרחיבים את הקטע ניהול.

      2. בקטע Metadata (מטא-נתונים), לוחצים על Add item (הוספת פריט) ומוסיפים את רשומות המטא-נתונים הבאות:

        מפתח: enable-osconfig
        ערך: TRUE.

        בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

        • מפתח: enable-osconfig
          ערך: TRUE
        • מפתח: enable-guest-attributes
          ערך: TRUE

    4. כדי ליצור את המכונה הווירטואלית (VM), לוחצים על האפשרות Create.

  • אפשרות 3: מגדירים את enable-osconfig במטא-נתונים של מכונה וירטואלית קיימת.

    1. נכנסים לדף VM instances במסוף Cloud de Confiance .

      כניסה לדף VM instances

    2. לוחצים על שם המכונה הווירטואלית שרוצים להגדיר עבורה את ערך המטא-נתונים.

    3. בדף פרטי המופע, לוחצים על עריכה כדי לערוך את ההגדרות.

    4. בקטע מטא-נתונים בהתאמה אישית, מוסיפים את רשומות המטא-נתונים הבאות:

      מקש: enable-osconfig
      ערך: TRUE.

      בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

      • מפתח: enable-osconfig
        ערך: TRUE
      • מפתח: enable-guest-attributes
        ערך: TRUE

    5. לוחצים על שמירה כדי להחיל את השינויים על המכונה הווירטואלית.

gcloud

משתמשים בפקודה project-info add-metadata או בפקודה instances add-metadata עם הדגל --metadata=enable-osconfig=TRUE.

אפשר להחיל את ערכי המטא-נתונים על הפרויקטים או על המכונות הווירטואליות באמצעות אחת מהאפשרויות הבאות:

  • אפשרות 1: מגדירים את enable-osconfig במטא-נתונים ברמת הפרויקט, כך שההגדרה תחול על כל המופעים בפרויקט:

    gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-osconfig=TRUE

    בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

    gcloud compute project-info add-metadata \
  --project PROJECT_ID \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE

    מחליפים את PROJECT_ID במזהה הפרויקט.

  • אפשרות 2: מגדירים את enable-osconfig במטא-נתונים של מופע קיים.

    gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-osconfig=TRUE

    בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

    gcloud compute instances add-metadata VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE

    מחליפים את VM_NAME בשם של המכונה הווירטואלית.

  • אפשרות 3: מגדירים את enable-osconfig במטא-נתונים של המופע כשיוצרים מופע.

    gcloud compute instances create VM_NAME \
  --metadata=enable-osconfig=TRUE

    בגרסה הקודמת של ניהול מלאי מערכות הפעלה, צריך להגדיר את שני הערכים הבאים: enable-osconfig ו-enable-guest-attributes:

    gcloud compute instances create VM_NAME \
  --metadata=enable-guest-attributes=TRUE,enable-osconfig=TRUE

    מחליפים את VM_NAME בשם של המכונה הווירטואלית.

REST

אפשר להגדיר את ערך המטא-נתונים ברמת הפרויקט או ברמת המופע. Cloud de Confiance

צריך להוסיף את צמד המפתח/ערך הבא כחלק ממאפיין המטא-נתונים:

  • מפתח: enable-osconfig
    ערך: TRUE

בגרסה הקודמת של ניהול מלאי שטחי הפרסום במערכת ההפעלה, צריך להוסיף גם את צמד המפתח/ערך הבא:

  • מפתח: enable-guest-attributes
    ערך: TRUE

הגדרת שרת proxy ל-HTTP

אם אתם משתמשים בשרת proxy של HTTP למכונות הווירטואליות, מריצים את הפקודות הבאות כדי להגדיר את משתני הסביבה http_proxy ו-https_proxy. כדי לאפשר לסוכן OS Config לגשת לשרת המטא-נתונים המקומי, צריך להגדיר את משתנה הסביבה no_proxy כך ששרת המטא-נתונים (169.254.169.254 ו-fd20:ce::254) לא ייכלל בו.

Linux

בהפצות של Linux שמשתמשות ב-systemd, בתור המשתמש root, מוסיפים את משתני הסביבה של ה-proxy ליחידה google-osconfig-agent.service:

mkdir -p /etc/systemd/system/google-osconfig-agent.service.d
cat >/etc/systemd/system/google-osconfig-agent.service.d/override.conf <<EOF
[Service]
Environment="http_proxy=http://PROXY_IP:PROXY_PORT" \
  "https_proxy=http://PROXY_IP:PROXY_PORT" \
  "no_proxy=169.254.169.254,fd20:ce::254,metadata,metadata.google.internal"
EOF

מחליפים את PROXY_IP ואת PROXY_PORT בכתובת ה-IP ובמספר היציאה של שרת ה-proxy, בהתאמה.

מפעילים מחדש את שירות הסוכן של OS Config:

systemctl daemon-reload
systemctl restart google-osconfig-agent

כדי לוודא שהמשתנים מוגדרים בצורה נכונה, בודקים את משתני הסביבה של הסוכן הפועל:

tr '\0' '\n' < /proc/$(systemctl show -p MainPID --value google-osconfig-agent)/environ

Windows

מריצים את הפקודות הבאות משורת פקודה של אדמין.

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,fd20:ce::254,metadata,metadata.google.internal /m

מחליפים את PROXY_IP ו-PROXY_PORT בכתובת ה-IP ובמספר היציאה של שרת ה-proxy, בהתאמה.

‫Google ממליצה להוסיף את משתנה הסביבה no_proxy כדי לא לכלול את *.googleapis.com, וכך למנוע בעיות בחיבור של הסוכן OS Config. אם רוצים לחבר רק מכונות וירטואליות ספציפיות לסוכן OS Config, צריך להוסיף תחילית לאזור שבו נמצאות המכונות הווירטואליות, ולהשתמש בפורמט [zone-name]-osconfig.googleapis.com. לדוגמה, us-central1-f-osconfig.googleapis.com.

השבתת תכונות שאין צורך בהן

אם יש תכונות שלא צריך, אפשר להשבית אותן על ידי הגדרת ערכי המטא-נתונים הבאים: osconfig-disabled-features=FEATURE1,FEATURE2.

מחליפים את FEATURE1,FEATURE2 באחד מהערכים הבאים:

  • ניהול מלאי שטחי פרסום במערכת ההפעלה: osinventory
  • מדיניות בנושא תיקונים ומערכת הפעלה: tasks
  • מדיניות אורחים של מערכת ההפעלה (בטא): guestpolicies

כדי להשבית את ערכי המטא-נתונים, משתמשים באחת מהשיטות הבאות.

המסוף

אפשר להשבית את ערכי המטא-נתונים בפרויקטים או במכונות הווירטואליות באמצעות אחת מהאפשרויות הבאות: Cloud de Confiance

  • אפשרות 1: משביתים את התכונה במטא-נתונים ברמת הפרויקט, כך שהיא תחול על כל המכונות בפרויקט.

    1. נכנסים לדף Metadata במסוף Cloud de Confiance .

      מעבר אל Metadata

    2. לוחצים על Edit.

    3. מוסיפים את רשומת המטא-נתונים הבאה:

      מפתח: osconfig-disabled-features
      ערך: FEATURE1,FEATURE2

      לדוגמה:
      מפתח: osconfig-disabled-features
      ערך: osinventory,guestpolicies

    4. לוחצים על שמירה כדי להחיל את השינויים.

  • אפשרות 2: השבתת התכונה במטא-נתונים של מכונה וירטואלית קיימת.

    1. נכנסים לדף VM instances במסוף Cloud de Confiance .

      כניסה לדף VM instances

    2. לוחצים על שם המכונה הווירטואלית שרוצים להגדיר בה את ערך המטא-נתונים.

    3. בדף פרטי המופע, לוחצים על עריכה כדי לערוך את הגדרות מכונת ה-VM.

    4. בקטע מטא-נתונים בהתאמה אישית, מוסיפים את רשומות המטא-נתונים הבאות:

      מפתח: osconfig-disabled-features
      ערך: FEATURE1,FEATURE2

      לדוגמה:
      מפתח: osconfig-disabled-features
      ערך: osinventory

    5. לוחצים על שמירה כדי להחיל את השינויים על המכונה הווירטואלית.

gcloud

משתמשים בפקודה project-info add-metadata או בפקודה instances add-metadata gcloud עם הדגל --metadata=osconfig-disabled-features.

אם משביתים כמה תכונות, הפורמט של הדגל צריך להיות --metadata=osconfig-disabled-features=FEATURE1,FEATURE2. ראו דוגמה 2.

דוגמאות

דוגמה 1 כדי להשבית את Patch ברמת Cloud de Confiance הפרויקט באמצעות Google Cloud CLI, מריצים את הפקודה הבאה:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

דוגמה 2 כדי להשבית את מדיניות מערכת ההפעלה ואת ניהול מלאי מערכות ההפעלה ברמת הפרויקט באמצעות Google Cloud CLI, מריצים את הפקודה הבאה:

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

מחליפים את PROJECT_ID במזהה הפרויקט.

REST

אפשר להגדיר את ערך המטא-נתונים ברמת הפרויקט או ברמת המופע. Cloud de Confiance

צריך להוסיף את צמד המפתח/ערך הבא כחלק ממאפיין המטא-נתונים:

  • מקש: osconfig-disabled-features
  • הערך: יכול להיות כל אחת מהאפשרויות הבאות או שילוב שלהן:
    • osinventory
    • tasks
    • guestpolicies

דרישות לסוכן OS Config פעיל

כדי שהסוכן OS Config ייחשב כפעיל וככזה שניתן לחייב עליו, הוא צריך לעמוד בכל הדרישות הבאות:

  • צריך להגדיר את VM Manager.

  • המכונה הווירטואלית צריכה להיות במצב RUNNING, והסוכן של OS Config צריך לתקשר עם שירות OS Config.

    אם מכונה וירטואלית מושבתת, מושהית או מנותקת מהרשת, הסוכן במכונה הווירטואלית הזו לא נספר כסוכן פעיל.

אימות ההגדרה

אחרי שמסיימים את תהליך ההגדרה, אפשר לאמת את ההגדרה.

הצגת הגדרות התכונות של VM Manager בפרויקט

כדי לוודא שכל התכונות של VM Manager מופעלות בפרויקט שלכם, פועלים לפי השלבים הבאים:

gcloud

משתמשים בפקודה gcloud compute os-config project-feature-settings describe באופן הבא:

gcloud compute os-config project-feature-settings describe \
    --project PROJECT_ID

הפלט של הפקודה אמור להיראות כך:

name: projects/my-project/locations/global/projectFeatureSettings
patchAndConfigFeatureSet: OSCONFIG_C

הערך OSCONFIG_C מייצג את כל התכונות של VM Manager, והערך OSCONFIG_B מייצג את התכונות המוגבלות.

REST

כדי לראות את התכונות של VM Manager ברמת Cloud de Confiance הפרויקט, יוצרים בקשת GET אל ה-method‏ projects.locations.global.getProjectFeatureSettings.

   GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings

מחליפים את PROJECT_ID במזהה הפרויקט.

אם הפעולה בוצעה ללא שגיאות, ה-method מחזיר את הגדרות התכונות של הפרויקט, כמו בדוגמה הבאה:

{
 "name": "projects/my-project/locations/global/projectFeatureSettings",
 "patchAndConfigFeatureSet": "OSCONFIG_C"
}

הערך OSCONFIG_C מייצג את כל התכונות של VM Manager, והערך OSCONFIG_B מייצג את התכונות המוגבלות.

הפעלת הפונקציונליות המלאה של VM Manager

אם VM Manager לא מופעל בפרויקט שלכם ואתם מתקינים את סוכן תפעול במהלך יצירת המכונה הווירטואלית,‏ VM Manager מופעל במצב מוגבל. במצב הזה, VM Manager מציע קבוצת משנה של תכונות למספר בלתי מוגבל של מכונות וירטואליות ללא עלות. לדוגמה, אתם יכולים לראות את הקצאות מדיניות מערכת ההפעלה למכונות הווירטואליות שלכם בדף 'מדיניות מערכת ההפעלה', אבל אתם לא יכולים ליצור או לערוך הקצאות של מדיניות מערכת ההפעלה.

כדי להפעיל את כל התכונות של VM Manager במכונות הווירטואליות האלה עם סוכן תפעול מותקן, צריך לבצע את הפעולות הבאות:

המסוף

  1. נכנסים לדף OS policies במסוף Cloud de Confiance .

מעבר למדיניות של מערכת ההפעלה

  1. לוחצים על הפעלת כל הפונקציות של VM Manager כדי להפעיל את כל התכונות של VM Manager.

    הפעלה אוטומטית של VM Manager מלא.

gcloud

כדי להפעיל את כל התכונות של VM Manager בפרויקט Cloud de Confiance , משתמשים בפקודה gcloud compute os-config project-feature-settings update:

gcloud compute os-config project-feature-settings update \
    --project PROJECT_ID \
    --patch-and-config-feature-set=full

REST

כדי להפעיל את כל התכונות של VM Manager ברמת הפרויקט, שולחים בקשת PATCH ל-method projects.locations.global.updateProjectFeatureSettings. Cloud de Confiance 

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   {
     "name": "projects/PROJECT_ID/locations/global/projectFeatureSettings",
     "patchAndConfigFeatureSet": "OSCONFIG_C"
   }

מחליפים את PROJECT_ID במזהה הפרויקט. הערך OSCONFIG_C מייצג את כל התכונות של VM Manager.

השבתת הסוכן של OS Config

השבתת הסוכן OS Config לא משפיעה על ההתנהגות של המכונה הווירטואלית. אפשר להשבית את הסוכן באותה דרך שבה מפסיקים שירותים אחרים של מערכת ההפעלה.

Linux

כדי להשבית את הסוכן באמצעות systemctl, מריצים את הפקודות הבאות:

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

Windows

כדי להשבית את הסוכן באמצעות powershell, מריצים את הפקודה הבאה:

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

מה השלב הבא?