VM Manager

O VM Manager é um conjunto de ferramentas que pode ser usado para gerenciar sistemas operacionais para grandes frotas de máquinas virtuais (VM) que executam o Windows e o Linux no Compute Engine.

O VM Manager ajuda a gerar eficiência por meio da automação e reduz a carga operacional da manutenção dessas frotas de VM.

O VM Manager é compatível com projetos em perímetros de serviço do VPC Service Controls.

Visão geral

Os seguintes serviços estão disponíveis como parte do pacote do VM Manager:

Patch: use este serviço para aplicar patches sob demanda e programados Também é possível usar o patch para gerar relatórios de conformidade com o patch no seu ambiente.
Gerenciamento de inventário do SO: use esse serviço para coletar e revisar informações do sistema operacional.
Políticas do SO: use esse serviço para instalar, remover e atualizar automaticamente pacotes de software.

Arquitetura do VM Manager. — Figura 1. Visão geral da arquitetura do VM Manager

Ao configurar ou ativar o VM Manager no seu projeto do Google Cloud, você pode acessar o pacote completo de ferramentas do VM Manager: patch, políticas do SO e gerenciamento de inventário do SO.

Ativar VM Manager

É possível definir que o VM Manager seja ativado de modo automático ou ativado manualmente. A ativação automática se aplica a todo o projeto. A ativação manual pode ser feita por VM ou para todo o projeto.

Em resumo, quando você ativa o VM Manager, seja de forma manual ou automática, a seguinte configuração ocorre:

A API do serviço de configuração do SO está ativada no projeto do Google Cloud.
O agente de Configuração do SO, em execução em cada VM selecionada, é ativado pela definição dos valores de metadados de instância necessários.

Observação: a configuração do SO é pré-instalada na maioria das VMs, mas não é ativada até que os metadados da instância sejam definidos.

Para mais informações sobre como ativar manualmente o VM Manager, consulte Visão geral da configuração.

A ativação automática é feita no Console do Google Cloud.

Agente de configuração do SO

Quando o VM Manager está ativado, o agente de configuração do SO funciona da seguinte maneira para cada um dos serviços:

Para Patch, o agente de configuração do SO usa utilitários de sistema do SO (como yum, apt, rpm ou o Windows Update Agent) para recuperar patches ou atualizações do pacote do SO ou da origem de atualização e aplicá-las à VM. Para mais informações, consulte Como a restauração funciona.
Para políticas de SO, o agente de configuração do SO usa utilitários de sistema (como yum, apt, rpm ou o Windows Update Agent) para manter o estado da VM especificada na política do SO. Para mais informações, consulte Como as políticas do SO funcionam.
Para o gerenciamento de inventário do SO, o agente de configuração do SO coleta dados de inventário. Esses dados de inventário são armazenados nos metadados da instância e em vários streams de registro. É possível consultar esses dados usando a Google Cloud CLI. Para mais informações, consulte Como o gerenciamento de inventário do SO funciona.

Agente de serviço de configuração do SO do Google Cloud

Alguns serviços do Google Cloud têm contas de serviço gerenciadas pelo Google que permitem que os serviços acessem seus recursos. Essas contas de serviço às vezes são conhecidas como agentes de serviços. Consulte Agentes de serviço para mais informações sobre esse assunto.

O VM Manager gerencia suas VMs usando um agente de serviço que coleta informações sobre suas VMs em seu nome. O e-mail desse agente de serviço gerenciado pelo Google é service-PROJECT_NUMBER@gcp-sa-osconfig.iam.gserviceaccount.com. Esta conta usa o papel Agente de serviço de configuração do SO do Cloud (roles/osconfig.serviceAgent).

É possível visualizar os agentes de serviço do projeto e os papéis concedidos a esses agentes na página do IAM do console do Google Cloud. No entanto, se você revogou o papel de agente de serviço de configuração do SO do Cloud do agente de serviço, não será possível visualizar o agente de serviço na página do IAM.

Origem de atualização e de pacotes do SO

Para políticas de patch e de SO, suas VMs precisam ser capazes de acessar origens e repositórios de pacotes. Para VMs em redes privadas, é possível configurar o Acesso privado do Google.

VM Manager e Terraform

É possível usar o Terraform para estender o escopo do VM Manager a vários projetos em uma organização do Google Cloud. Para saber como criar jobs de patch e atribuições de política do SO usando o Terraform e o VM Manager, consulte os exemplos e tutoriais da Terraform no repositório do GitHub de configuração do SO.

Para mais informações sobre as configurações do Terraform e o uso dele, consulte a documentação dos seguintes recursos:

Para ver uma lista dos recursos disponíveis para começar a usar o Terraform, consulte Como usar o Terraform com o Google Cloud.

A seguir

Saiba mais sobre o gerenciamento de inventário do SO.
Saiba mais sobre o patch.
Saiba mais sobre as políticas do SO.