Configure o VM Manager

No Compute Engine, pode gerir os sistemas operativos que estão a ser executados nas suas máquinas virtuais (VMs) através do VM Manager.

Pode ativar o Gestor de VMs para VMs individuais, para um projeto ou para todos os projetos numa pasta ou numa organização. Para rever os passos necessários para configurar as suas VMs para usar o Gestor de VMs, consulte a vista geral da configuração.

Depois de configurar o VM Manager, pode ver os registos de auditoria das operações da API realizadas com a API OS Config. Consulte o artigo Ver registos de auditoria do VM Manager.

Antes de começar

• Reveja as quotas de configuração do SO para o seu projeto.
• Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Trusted Cloud by S3NS serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

  gcloud

  1. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

     gcloud init

  2. Set a default region and zone.

  REST

  Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

  Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:

  gcloud init

  Para mais informações, consulte o artigo Autenticar para usar REST na Trusted Cloud documentação de autenticação.

Sistemas operativos compatíveis

Para ver a lista completa de versões de sistemas operativos que suportam o VM Manager, consulte os detalhes do sistema operativo. Se o agente de configuração do SO não estiver disponível para um determinado sistema operativo, não pode ativar o Gestor de VMs para uma VM que execute este sistema operativo.

Ative o VM Manager através de uma política da organização

Pode ativar automaticamente o VM Manager para todas as novas VMs na sua organização, pasta ou projeto através da política da organização Require OS Config.

Quando a restrição booleana Require OS Config está configurada, são aplicadas as seguintes condições:

• enable-osconfig=TRUE está incluído nos metadados do projeto para todos os novos projetos.
• Os pedidos que definem enable-osconfig como FALSE nos metadados da instância ou do projeto são rejeitados para VMs e projetos novos e existentes.
• Esta política da organização não altera o valor de metadados enable-osconfig para TRUE para VMs ou para os projetos que foram criados antes de ativar a política. Se quiser ativar o VM Manager nessas VMs ou projetos, recomendamos que atualize os metadados. Para mais informações, consulte o artigo Defina os valores dos metadados.

Quando a política organizacional de configuração do SO está ativada, ainda pode usar os metadados osconfig-disabled-features para desativar uma ou mais funcionalidades do gestor de VMs.

Ative a política da organização de configuração do SO

Para ativar a política de configuração do SO, pode definir a restrição Require OS Config em toda a organização, pastas ou projetos específicos através daTrusted Cloud consola ou da CLI do Google Cloud.

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --folder=folder-id

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --project=project-id

Ative o VM Manager num projeto

Para ativar o VM Manager no seu projeto, tem duas opções:

• Ativação automática: aplica-se a todo o seu projeto Trusted Cloud . Conclui a ativação automática a partir da Trusted Cloud consola. Ainda pode ter de concluir manualmente alguns passos.

• Ativação manual: pode ser feita por VM ou para todo o Trusted Cloud projeto.

Ative a API do serviço de configuração do SO

No seu Trusted Cloud projeto, ative a API OS Config.

gcloud services enable osconfig.googleapis.com

Verifique se o agente de configuração do SO está instalado

O agente OS Config é instalado por predefinição em imagens do CentOS, do Container-Optimized OS (COS), do Debian, do Red Hat Enterprise Linux (RHEL), do Rocky Linux, do SLES, do Ubuntu e do Windows Server com uma data de compilação de v20200114 ou posterior. Para obter informações sobre as versões dos sistemas operativos com o agente de configuração do SO instalado, consulte os detalhes do sistema operativo. Estes agentes são executados sem atividade até ativar os metadados do agente e ativar a API de serviço.

sudo systemctl status google-osconfig-agent

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

PowerShell Get-Service google_osconfig_agent

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Instale o agente de configuração do SO

Antes de seguir estes passos para instalar o agente, verifique se o agente já está em execução na sua VM.

Em cada VM, instale o agente de configuração do SO. Pode instalar o agente OS Config através de uma das seguintes opções:

• Instale o agente manualmente a partir do terminal.
• Use um script de arranque nas suas VMs.
• Automatize a instalação da configuração do SO em várias VMs através de uma política do agente do Google Cloud Observability.
• Instale o agente de operações durante a criação da VM.

Instale o agente manualmente

Use esta opção para instalar o agente de configuração do SO numa VM existente.

Para instalar o agente, conclua os seguintes passos:

1. Estabeleça ligação à VM na qual quer instalar o agente OS Config.

2. Instale o agente de configuração do SO.

   Windows Server

   Para instalar o agente de configuração do SO num servidor Windows, execute o seguinte comando:

   googet -noconfirm install google-osconfig-agent
   

   Ubuntu

   Para instalar o agente de configuração do SO numa VM do Ubuntu, execute os seguintes comandos:

   1. Configure o repositório do Ubuntu.

      • Para o Ubuntu 20.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a Trusted Cloud chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Para o Ubuntu 18.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a Trusted Cloud chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Para o Ubuntu 16.04, execute os seguintes comandos:

        1. Adicione o repositório do Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe a Trusted Cloud by S3NS chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

   2. Instale o agente de configuração do SO.

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

   Debian

   Para instalar o agente de configuração do SO numa VM Debian, execute os seguintes comandos:

   sudo apt update
   sudo apt -y install google-osconfig-agent
   

   Adicionar o Trusted Cloud repositório e a chave pública

   Se estiver a usar uma instância de VM que não foi criada a partir de uma imagem fornecida pela Google ou recebeu uma mensagem de erro "não é possível localizar o pacote", conclua os passos seguintes para adicionar o repositório e importar a chave pública. Trusted Cloud

   Depois de adicionar o repositório e importar a chave, pode executar os comandos para instalar o agente OS Config.

   • Para o Debian 9 (Stretch), execute os seguintes comandos:

     1. Adicione o repositório Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe a Trusted Cloud chave pública.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   • Para o Debian 10 (Buster), execute os seguintes comandos:

     1. Adicione o repositório Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe a Trusted Cloud chave pública.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   RHEL/CentOS/Rocky

   Para instalar o agente de configuração do SO numa VM RHEL 7/8, CentOS 7/8 ou Rocky Linux 8/9, execute o seguinte comando:

   sudo yum -y install google-osconfig-agent
   

   SLES/openSUSE

   Para instalar o agente de configuração do SO numa VM do SLES ou openSUSE, execute os seguintes comandos:

   1. Configure o repositório SLES.

      • Para o SLES 12, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        

      • Para o SLES 15 e o OpenSUSE 15, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        

   2. Importe as chaves GPG para Trusted Cloud.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      

   3. Instale o agente de configuração do SO.

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
      

Instale o agente através de um script de arranque

Também pode usar os comandos de instalação manual para criar um script de arranque que instala o agente de configuração do SO durante a criação da VM.

1. Copie os comandos manuais para o seu sistema operativo.

2. Forneça o script de arranque ao método de criação da VM.

   Por exemplo, se estiver a usar o comando gcloud compute instances create para criar uma VM Debian 10, o comando é semelhante ao seguinte:

   gcloud compute instances create VM_NAME \
      --image-family=debian-10 --image-project=debian-cloud \
      --metadata startup-script='#! /bin/bash
      apt update
      apt -y install google-osconfig-agent'

   Substitua VM_NAME pelo nome da sua VM.

3. Verifique se o script de arranque é concluído. Para verificar se o script de arranque é concluído, reveja os registos ou verifique a consola série.

Defina os valores dos metadados

Pode definir metadados de instância em cada VM ou metadados de projeto que se aplicam a todas as VMs no seu projeto.

No seu Trusted Cloud projeto ou VM, defina o valor de metadadosenable-osconfig como TRUE. Definir o valor de metadados enable-osconfig como TRUE permite o seguinte:

• Patch
• Políticas do SO
• OS inventory management
  • Para a versão anterior da gestão de inventário do SO, também tem de definir o valor dos metadados enable-guest-attributes como TRUE. Se ambos os valores de metadados não estiverem definidos, o painel de controlo mostra no data para a VM. Isto não é necessário para a versão posterior. Para obter informações acerca das duas versões de gestão de inventário de SO, consulte Versões de gestão de inventário de SO.

Configure um proxy HTTP

Se usar um proxy HTTP para as suas VMs, execute os seguintes comandos para definir as variáveis de ambiente http_proxy e https_proxy. Também deve excluir o servidor de metadados (169.254.169.254) configurando a variável de ambiente no_proxy para que o agente de configuração do SO possa aceder ao servidor de metadados local.

mkdir -p /etc/systemd/system/google-osconfig-agent.service.d
cat >/etc/systemd/system/google-osconfig-agent.service.d/override.conf <<EOF
[Service]
Environment="http_proxy=http://PROXY_IP:PROXY_PORT" \
  "https_proxy=http://PROXY_IP:PROXY_PORT" \
  "no_proxy=169.254.169.254,metadata,metadata.google.internal"
EOF

systemctl daemon-reload
systemctl restart google-osconfig-agent

tr '\0' '\n' < /proc/$(systemctl show -p MainPID --value google-osconfig-agent)/environ

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

A Google recomenda que exclua *.googleapis.com adicionando a variável de ambiente no_proxy para evitar problemas de ligação do agente OS Config. Se quiser associar apenas VMs específicas ao agente de configuração do SO, adicione o prefixo da zona em que as VMs se encontram e use o formato [zone-name]-osconfig.googleapis.com. Por exemplo, us-central1-f-osconfig.googleapis.com.

Desative funcionalidades de que não precisa

Para funcionalidades que pode não precisar, pode desativá-las definindo os seguintes valores de metadados: osconfig-disabled-features=FEATURE1,FEATURE2.

Substitua FEATURE1,FEATURE2 por qualquer um dos seguintes valores:

• OS Inventory Management: osinventory
• Políticas de correções e SO: tasks
• Políticas de convidados do SO (beta): guestpolicies

Use um dos seguintes métodos para desativar os valores de metadados.

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Requisitos para um agente do OS Config ativo

Para que o agente de configuração do SO seja considerado ativo e faturável, tem de cumprir todos os seguintes requisitos:

• O VM Manager tem de estar configurado.

• A VM tem de estar no estado RUNNING e o agente de configuração do SO tem de estar a comunicar com o serviço de configuração do SO.

  Se uma VM for parada, suspensa ou desligada da rede, o agente nessa VM não é contabilizado como um agente ativo.

Valide a configuração

Após concluir o procedimento de configuração, pode validar a configuração.

Veja as definições das funcionalidades do VM Manager para o seu projeto

Para verificar se todas as funcionalidades do VM Manager estão ativadas no seu projeto, faça o seguinte:

gcloud compute os-config project-feature-settings describe \
    --project PROJECT_ID

name: projects/my-project/locations/global/projectFeatureSettings
patchAndConfigFeatureSet: OSCONFIG_C

   GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   

{
 "name": "projects/my-project/locations/global/projectFeatureSettings",
 "patchAndConfigFeatureSet": "OSCONFIG_C"
}

Ative a funcionalidade completa do Gestor de VMs

Se o VM Manager não estiver ativado no seu projeto e instalar o agente de operações durante a criação da VM, o VM Manager é ativado no modo limitado. Neste modo, o VM Manager oferece um subconjunto de funcionalidades para um número ilimitado de VMs sem custo financeiro. Por exemplo, pode ver as atribuições de políticas do SO para as suas VMs na página de políticas do SO, mas não pode criar nem editar atribuições de políticas do SO.

Para ativar todas as funcionalidades do VM Manager para estas VMs com o Ops Agent instalado, faça o seguinte:

gcloud compute os-config project-feature-settings update \
    --project PROJECT_ID \
    --patch-and-config-feature-set=full

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   {
     "name": "projects/PROJECT_ID/locations/global/projectFeatureSettings",
     "patchAndConfigFeatureSet": "OSCONFIG_C"
   }
   

Desative o agente de configuração do SO

A desativação do agente de configuração do SO não afeta o comportamento da sua VM. Pode desativar o agente da mesma forma que para outros serviços do sistema operativo.

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

O que se segue?

• Crie uma atribuição de política do SO.
• Veja os detalhes do sistema operativo.
• Crie tarefas de aplicação de patches.
• Saiba mais sobre o VM Manager.