Crear tareas de parches

Puedes usar Parche para aplicar parches del sistema operativo en un grupo de instancias de máquina virtual (VM).

Para aplicar parches a tus VMs, sigue estos pasos:

1. Configura tu máquina virtual.
2. Ejecuta una tarea de parche.

Antes de empezar

• Consulta las cuotas de OS Config.
• Para generar registros de auditoría de eventos de VM Manager, habilita los registros de auditoría de acceso a datos.
• Si aún no lo has hecho, configura la autenticación. La autenticación verifica tu identidad para acceder a Google Cloud servicios y APIs. Para ejecutar código o ejemplos desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

     gcloud init

     Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  2. Set a default region and zone.

  REST

  Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

  Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

  gcloud init

  Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Google Cloud .

Limitaciones

• Solo puedes desplegar y ejecutar tareas de parche en VMs de un único Google Cloud proyecto. No puedes ejecutar tareas de parche en varios Google Cloud proyectos, aunque las VMs estén en una VPC compartida. Sin embargo, puedes ver los datos de cumplimiento de los parches de todos los proyectos.
• De forma predeterminada, Gestor de VMs no aplica parches a ninguna VM que forme parte de un grupo de instancias gestionado (MIG). La aplicación de parches en estas VMs se indica como un error en la tarea de aplicación de parches. Puedes anular este comportamiento predeterminado al crear el trabajo de parche. Se aplican las siguientes limitaciones cuando aplicas parches a las VMs que forman parte de un MIG:
  • Cuando un MIG repara una VM, la vuelve a crear a partir de la plantilla de instancia. Esto podría hacer que la VM vuelva a un estado sin parchear.
  • Aplicar parches a las VMs puede provocar resultados inesperados en un MIG que tenga habilitado el escalado automático. La herramienta de escalado automático elimina las VMs parcheadas cuando la carga disminuye y crea VMs nuevas, sin ningún parche, mediante la plantilla de instancia de MIG cuando la carga aumenta. Por ejemplo, si la utilización media de la CPU es inferior a la utilización objetivo que has especificado para el autoescalado, el MIG puede eliminar algunas de las VMs parcheadas al reducir la escala.

Sistemas operativos compatibles

Para ver la lista completa de sistemas operativos y versiones que admiten Patch, consulta Detalles del sistema operativo.

Configurar una máquina virtual

Para usar la función Parche, sigue estos pasos:

1. Configura VM Manager en todas las VMs.
2. En el caso de las VMs Windows, Google recomienda inhabilitar las actualizaciones automáticas en las VMs. De esta forma, se reducen los conflictos entre las actualizaciones automáticas de Windows y el servicio de parches.

Permisos

Los propietarios de un Google Cloud proyecto tienen acceso completo para ejecutar y gestionar trabajos de parche. En el caso del resto de los usuarios, debes conceder permisos. Puedes conceder uno de los siguientes roles granulares:

• roles/osconfig.patchJobExecutor: contiene permisos para ejecutar, cancelar, obtener y mostrar tareas de parche. También contiene permisos para ver los detalles de la instancia de un trabajo de parche.
• roles/osconfig.patchJobViewer: contiene permisos de acceso de solo lectura para obtener y enumerar trabajos de parche. También contiene permisos para ver los detalles de la instancia de un trabajo de parche.

Por ejemplo, para conceder a un usuario acceso para ejecutar trabajos de parche, usa el siguiente comando:

gcloud projects add-iam-policy-binding project-id \
    --member user:user-id@gmail.com \
    --role roles/osconfig.patchJobExecutor

Haz los cambios siguientes:

• project-id: el ID del proyecto.
• user-id: nombre de usuario de Google Workspace del usuario.

Ejecutar tareas de parches

Puedes ejecutar una tarea de parche mediante la Google Cloud consola, la CLI de Google Cloud o REST.

Cuando ejecutas una tarea de aplicación de parches, el proceso se inicia simultáneamente en todas las instancias especificadas por el filtro de instancias.

Una vez que hayas iniciado un trabajo de parche, podrás monitorizar tus parches mediante el panel de control de parches. Los datos tardan aproximadamente 30 minutos en aparecer en el panel de control después de que se inicie una tarea de parche.

gcloud compute os-config patch-jobs execute instance-filter

gcloud compute os-config patch-jobs execute \
    --instance-filter-names="zones/us-east1-b/instances/instance-1" \
    --description "patch for instance-1"

gcloud compute os-config patch-jobs execute \
    --instance-filter-all \
    --duration="1h30m" --reboot-config="DEFAULT" \
    --apt-dist --windows-exclusive-patches=4339284 \
    --yum-minimal --yum-security \
    --async

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter": instance-filter
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "description":"patch instance1 in us-east1-b",
  "duration":"5400s",
  "instanceFilter":{
    "instances":[
      "zones/us-east1-b/instances/instance1"
    ]
  }
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "groupLabels":[
      {
        "labels":{
          "env":"dev",
          "app":"web"
        }
      }
    ],
    "instanceNamePrefixes":[
      "test-"
    ],
    "zones":[
      "asia-east1-b",
      "asia-east1-c"
    ]
  }
}

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
 "duration":"5400s",
 "instanceFilter":{
   "all":true
 },
 "patchConfig":{
   "rebootConfig":"DEFAULT",
   "apt":{
     "type":"DIST"
   },
   "yum":{
     "security":true,
     "minimal":true
   },
   "windowsUpdate":{
     "exclusivePatches":"4339284"
   }
 }
}

Filtros de instancias

Puedes especificar las instancias que se incluirán en una tarea de parche mediante filtros. Se admiten los siguientes filtros para las tareas de parche:

• Filtrar por nombre: limita la tarea de parche a las instancias con nombres específicos. Los nombres de las instancias deben especificarse mediante el URI completo. Los formatos de URI admitidos son los siguientes:

  • zones/zone/instances/instance-name

  • projects/project-id/zones/zone/instances/instance-name

  • https://www.googleapis.com/compute/v1/projects/project-id/zones/zone/instances/instance-name

• Filtrar por prefijo de nombre: limita el trabajo de parche a las instancias que tengan un prefijo específico en su nombre.

• Filtrar por zona: limita el trabajo de parche a las instancias de una zona específica.

• Filtrar por etiqueta: limita el trabajo de parche a las instancias con etiquetas específicas.

También puedes ejecutar trabajos de parche en todas las instancias de un proyecto si asignas el valor true al campo all de instanceFilter. Google Cloud Para obtener más información, consulta los filtros de instancias de ejemplo.

Ejemplos de filtros de instancias

--instance-filter-all

{
  "instanceFilter":{
    "all":"true"
  }
}

--instance-filter-names="zones/us-east1-b/instances/instance1"

{
  "instanceFilter":{
    "instances":[
      "zones/us-east1-b/instances/instance1"
    ]
  }
}

--instance-filter-name-prefixes="app-"

{
  "instanceFilter":{
    "instanceNamePrefixes":[
      "app-"
    ]
  }
}

--instance-filter-zones="us-east1-b","us-east1-c"

{
  "instanceFilter":{
    "zones":[
      "us-east1-b",
      "us-east1-c"
    ]
  }
}

--instance-filter-group-labels="env=dev,app=web"
--instance-filter-group-labels="env=dev,app=worker"

{
  "instanceFilter":{
    "groupLabels":[
      {
        "labels":{
          "env":"dev",
          "app":"web"
        }
      },
      {
        "labels":{
          "env":"dev",
          "app":"worker"
        }
      }
    ]
  }
}

Combinar filtros de instancia

También se pueden combinar filtros de instancias. Por ejemplo, para ejecutar una tarea de parche para las instancias que tienen el prefijo test-, que se encuentran en la zona us-east1-c y que tienen las etiquetas env=dev y app=web, ejecuta el siguiente comando:

gcloud compute os-config patch-jobs execute \
    --instance-filter-name-prefixes="test-" \
    --instance-filter-zones="us-east1-c" \
    --instance-filter-group-labels="env=prod,app=web"

Configuración del parche

Cuando ejecutas un trabajo de parche, puedes especificar parámetros para controlar los parches que se aplican en la VM. Los parámetros de configuración de los parches dependen de la plataforma y a menudo se transfieren a las herramientas de actualización del sistema subyacente. Los parches reales proceden de los repositorios de paquetes (Linux) o del servidor de Windows Update (Windows) que esté configurado en la VM.

Puedes especificar las siguientes configuraciones de parches para tus VMs:

• En Windows, especifica la clasificación de los parches que se van a aplicar (por ejemplo, Security y Critical) o segmentar por bases de conocimientos específicas para excluirlas. Para obtener más información sobre la clasificación de parches, consulta la documentación de asistencia de Microsoft.

• En RHEL, Rocky Linux y CentOS, el sistema subyacente es yum.

  • En el caso de los parches destinados a máquinas virtuales con RHEL y Rocky Linux, puedes especificar los paquetes security y minimal.
  • En el caso de las VMs de CentOS, no hay metadatos security en el repositorio yum de CentOS. Por lo tanto, no es necesario especificar la opción security al actualizar los paquetes de seguridad. Si no especificas ningún paquete, el trabajo de parche actualiza todos los paquetes, incluidos los que tienen actualizaciones de seguridad.
  • También puede excluir paquetes específicos. Para obtener más información, consulta las páginas del manual de yum.

• En Debian y Ubuntu, el sistema subyacente es apt. En el caso de los parches destinados a estas VMs, puedes especificar dist-upgrade o una actualización estándar. También puedes excluir paquetes específicos. Para obtener más información, consulta las páginas del manual de Debian o las páginas del manual de Ubuntu.

• En SuSE, el sistema subyacente es zypper, que usa específicamente parches de zypper. En el caso de los parches destinados a estas máquinas virtuales, puede especificar opciones como las siguientes:

  • with update: actualiza todos los paquetes que no estén cubiertos por parches
  • with optional: los parches opcionales se tratan según sea necesario
  • Las categorías o la gravedad de los parches que se van a aplicar

  También puedes excluir parches específicos.

De forma opcional, en todos los sistemas operativos compatibles, puedes seleccionar la opción de instalar solo los parches aprobados especificando estas actualizaciones. Esto te permite introducir una lista de paquetes o parches aprobados. Cuando seleccionas estos parches aprobados, solo se instalan los paquetes o parches aprobados. El resto de los parámetros de configuración de los parches se omiten durante la actualización.

Ejemplos

gcloud compute os-config patch-jobs execute \
    --instance-filter-zones="northamerica-northeast1-a" \
    --apt-dist \
    --yum-security \
    --yum-minimal \
    --zypper-categories=security \
    --windows-classifications=critical,security \
    --reboot-config=default

gcloud compute os-config patch-jobs execute --help

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute
{
    "instanceFilter":{
        "zones":[
            "northamerica-northeast1-a"
        ]
    },
    "patchConfig":{
        "apt": {
            "type": "dist-upgrade"
        },
        "yum": {
            "security": true,
            "minimal": true
        },
        "zypper": {
            "categories": ["security"]
        },
        "windowsUpdate": {
            "classifications": ["CRITICAL", "SECURITY"]
        },
        "rebootConfig": "DEFAULT"
    }
}

Ventana de mantenimiento

Una ventana de mantenimiento es el periodo total durante el que permites que se ejecute un trabajo de parche. Las tareas de parche se agotarán si no se completan en la ventana de mantenimiento especificada.

Por ejemplo, si defines una ventana de mantenimiento de 60 minutes, no se iniciará ningún trabajo de parche nuevo 60 minutos después de la hora de inicio. Algunos procesos, como la descarga de un archivo o el reinicio, pueden producirse fuera de este periodo de mantenimiento, pero no se iniciará ningún trabajo de parche nuevo.

Opciones de reinicio

Cuando ejecutes un trabajo de parche, puedes especificar las opciones de reinicio del parche. Estas son las opciones disponibles:

• Valor predeterminado: el agente decide si es necesario reiniciar comprobando señales conocidas en cada SO. Es posible que se produzcan varios reinicios durante la aplicación de parches y que se produzcan antes de que se instale ningún parche.
• Siempre: la máquina se reinicia después de que se complete la actualización.
• Nunca: la máquina no se reiniciará cuando se complete la actualización. En algunos casos, esto puede significar que no se apliquen todos los parches por completo.

Secuencias de comandos previas y posteriores a la aplicación de parches

Al ejecutar una tarea de parche, puede especificar las secuencias de comandos que se ejecutarán como parte del proceso de aplicación de parches. Estas secuencias de comandos son útiles para realizar tareas como cerrar una aplicación y realizar comprobaciones del estado.

• Las secuencias de comandos previas a la revisión se ejecutan antes de que comience la revisión. Si se requiere reiniciar el sistema antes de que comience la operación de aplicación de parches, la secuencia de comandos previa al parche se ejecuta antes del reinicio.
• Las secuencias de comandos posteriores al parche se ejecutan después de completar el proceso de aplicación del parche. Si se requiere un reinicio del sistema como parte del parche, la secuencia de comandos posterior al parche se ejecuta después del reinicio.

Un trabajo de parche acepta una secuencia de comandos previa al parche y otra posterior al parche para Linux, así como una secuencia de comandos previa al parche y otra posterior al parche para Windows. Las secuencias de comandos de Linux y Windows deben proporcionarse con las marcas, los parámetros o las secciones correspondientes cuando se especifiquen desde Google Cloud CLI, REST o la Google Cloud consola, respectivamente. Las secuencias de comandos de Linux solo se ejecutan en máquinas virtuales Linux, y las secuencias de comandos de Windows solo se ejecutan en máquinas virtuales Windows.

Estos archivos de secuencia de comandos se pueden almacenar en la VM o en un segmento de Cloud Storage versionado.

Almacenar secuencias de comandos de parches en segmentos de Cloud Storage

Si quieres usar un segmento de Cloud Storage para almacenar tus secuencias de comandos, crea un segmento de Cloud Storage y sube tus secuencias de comandos al segmento. Cuando utilices un segmento de Cloud Storage, ten en cuenta lo siguiente:

• Si tu objeto de Cloud Storage no es de lectura pública, asegúrate de que la cuenta de servicio adjunta a la instancia tenga los permisos de gestión de identidades y accesos necesarios para leer los objetos de Cloud Storage. Para asegurarte de que tienes los permisos correctos, consulta la configuración de permisos del objeto de Cloud Storage.
• Cuando seleccionas una secuencia de comandos de Cloud Storage mediante la consola, se usa de forma predeterminada la versión más reciente del objeto de Cloud Storage especificado.Google Cloud

• Si tu organización aplica la restricción de ubicación de recursos, debes almacenar tus secuencias de comandos en segmentos de Cloud Storage de las regiones y zonas que permita la política de tu organización.

gcloud compute os-config patch-jobs execute \
    --instance-filter-zones="northamerica-northeast1-a" \
    --async \
    --pre-patch-linux-executable="/tmp/pre_patch_script.sh" \
    --post-patch-linux-executable="gs://my-patch-scripts/linux/post_patch_script#1523477886880" \
    --pre-patch-windows-executable="C:\\Users\\user\\pre-patch-script.cmd" \
    --post-patch-windows-executable="gs://my-patch-scripts/windows/post_patch_script.ps1#135920493447"

gcloud compute os-config patch-jobs execute --help

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "zones":[
      "northamerica-northeast1-a"
    ]
  },
  "patchConfig":{
    "preStep":{
      "linuxExecStepConfig":{
        "localPath":"/tmp/pre_patch_script.sh"
      },
      "windowsExecStepConfig":{
        "interpreter":"SHELL",
        "localPath":"C:\\Users\\user\\pre-patch-script.cmd"
      }
    },
    "postStep":{
      "linuxExecStepConfig":{
        "gcsObject":{
          "bucket":"my-patch-scripts",
          "generationNumber":"1523477886880",
          "object":"linux/post_patch_script"
        }
      },
      "windowsExecStepConfig":{
        "gcsObject":{
          "bucket":"my-patch-scripts",
          "generationNumber":"135920493447",
          "object":"windows/post_patch_script.ps1"
        },
        "interpreter":"POWERSHELL"
      }
    }
  }
}

Opciones de lanzamiento de parches

Puedes aplicar parches a las VMs de una zona a la vez (zona por zona) o a todas las zonas a la vez (zonas simultáneas).

Además de seleccionar la zona de lanzamiento, también puedes especificar un presupuesto de interrupción de la zona para tus VMs.

Cobertura para interrupciones de la zona

Un presupuesto de interrupción es el número (o porcentaje) máximo de VMs por zona que se pueden interrumpir en un momento dado.

¿Qué se considera una VM interrumpida?

Durante la aplicación de parches, se considera que una VM se interrumpe desde el momento en que se notifica al agente de configuración del SO que empiece hasta que se complete la aplicación de parches. Este tiempo de interrupción incluye el tiempo necesario para completar el reinicio y cualquier paso posterior a la aplicación del parche.

Una máquina virtual también se contabiliza como parte del presupuesto de interrupción si cumple alguna de las siguientes condiciones:

• La operación de aplicación de parches falla al aplicar los parches
• La operación de parcheo falla al ejecutar los pasos previos o posteriores al parche
• La operación de parche no responde con una notificación de éxito antes de que se agote el tiempo de espera

Cómo funcionan los presupuestos de interrupción

En las implementaciones por zonas, si se supera el presupuesto de interrupción de una zona, la tarea de parche se detiene. Esto ocurre porque para continuar con la siguiente zona es necesario completar el proceso de parche en la zona anterior.

Por ejemplo, si el presupuesto de interrupción tiene un valor de 10 y 8 VMs no se pueden parchear en la zona actual, el trabajo de parcheo seguirá parcheando 2 VMs a la vez hasta que se complete la zona. Cuando se complete correctamente esa zona, se empezarán a aplicar parches a 10 VMs a la vez en la siguiente zona. Si no se pueden parchear 10 VMs de la siguiente zona, el trabajo de parche se detendrá.

Ejemplos

gcloud compute os-config patch-jobs execute \
   --instance-filter-all \
   --rollout-mode=zone-by-zone \
   --rollout-disruption-budget=10

gcloud compute os-config patch-jobs execute \
   --instance-filter-all \
   --rollout-mode=concurrent-zones \
   --rollout-disruption-budget-percent=50

POST https://osconfig.googleapis.com/v1/projects/project-id/patchJobs:execute

{
  "instanceFilter":{
    "zones":[
      "us-central1-a",
      "us-central1-c",
      "us-central1-f"
    ]
  },
  "rollout": {
    "disruptionBudget": {
      "percent": 25
    },
    "mode": "CONCURRENT_ZONES"
  }
}

Habilitar la aplicación de parches en software de Microsoft en máquinas virtuales Windows

Cuando ejecutas una tarea de parche en VMs de Windows, de forma predeterminada, Patch aplica solo los parches del sistema operativo Windows.

Puedes aplicar actualizaciones para software de Microsoft, como Microsoft SQL Server, SharePoint Server o .NET Framework, que se ejecutan en tus VMs Windows cuando ejecutas un trabajo de parche. De forma predeterminada, la aplicación de parches a estas aplicaciones está inhabilitada para evitar interrupciones en el servicio y separar las actualizaciones planificadas de estos softwares. Para habilitar la aplicación de parches de software de Microsoft automáticamente, puedes usar la interfaz de usuario de Windows o PowerShell.

 $service_manager = New-Object -ComObject 'Microsoft.Update.ServiceManager'
 $service_manager.AddService2("7971f918-a847-4430-9279-4a52d1efe18d",7,"")

Depurar una tarea de parche

Si el parche falla, puedes seguir estos pasos para encontrar y resolver los problemas.

1. Consulta los detalles de la instancia de la tarea de parche afectada. De esta forma, podrás identificar qué instancias han fallado o en qué estado se han quedado bloqueadas. La lista de detalles de la instancia también contiene un breve mensaje de error de cada instancia.

   Si un parche falla con el estado NO_AGENT_DETECTED o TIMED_OUT, suele significar que el servicio ha enviado una solicitud al agente para que empiece a aplicar el parche, pero no ha recibido respuesta del agente. Revisa las posibles causas y soluciones que se indican a continuación:

   • La instancia no se está ejecutando. Para solucionar este problema, inicia la instancia de VM.
   • Para verificar la configuración, consulta la lista de comprobación de la verificación.
   • Los ajustes de red de la red de VPC o de la instancia no permiten que el agente de configuración del SO se comunique con la API OS Config. Para solucionar este problema, comprueba la configuración de red.

2. Si los detalles de la instancia no proporcionan suficiente información, consulta los registros de Cloud Logging o la consola del puerto serie. El agente de configuración del SO escribe sus entradas de registro en ambas ubicaciones. En Cloud Logging, puede filtrar por ID de tarea de parche para ver todas las entradas de registro relacionadas con esa tarea. También puedes habilitar el registro de depuración definiendo el osconfig-log-level=debug valor de metadatos a nivel de VM o de proyecto. Google Cloud

Siguientes pasos

• Más información sobre los parches
• Gestiona tus tareas de parches.
• Programar tareas de parches.