Configurar o Gerenciador de VM

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

No Compute Engine, você pode gerenciar os sistemas operacionais em execução nas suas máquinas virtuais (VMs) usando o VM Manager .

Você pode habilitar o VM Manager para VMs individuais, para um projeto ou para todos os projetos em uma pasta ou organização. Para revisar as etapas necessárias para configurar suas VMs para usar o VM Manager, consulte Visão geral da configuração .

Depois de configurar o VM Manager, você pode visualizar logs de auditoria para operações de API executadas com a API OS Config. Consulte Visualização de logs de auditoria do VM Manager .

Antes de começar

• Revise as cotas de configuração do sistema operacional para seu projeto.
• Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  REST

  Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Sistemas operacionais suportados

Para obter a lista completa de versões de sistemas operacionais que suportam o VM Manager, consulte Detalhes do sistema operacional . Se o agente de configuração do SO não estiver disponível para um sistema operacional específico, você não poderá ativar o VM Manager para uma VM que execute esse sistema operacional.

Habilitar o VM Manager usando uma política da organização

Você pode habilitar automaticamente o VM Manager para todas as novas VMs em sua organização, pasta ou projeto usando a política de organização Exigir configuração do SO.

Quando a restrição booleana Require OS Config é configurada, as seguintes condições são aplicadas:

• enable-osconfig=TRUE está incluído nos metadados do projeto para todos os novos projetos.
• As solicitações que definem enable-osconfig como FALSE na instância ou nos metadados do projeto são rejeitadas para VMs e projetos novos e existentes.
• Esta política da organização não altera o valor de metadados enable-osconfig para TRUE para VMs ou para os projetos que foram criados antes de ativar a política. Se você quiser habilitar o VM Manager nessas VMs ou projetos, recomendamos que você atualize os metadados. Para obter mais informações, consulte Definir os valores de metadados .

Quando a política da organização OS Config estiver habilitada, você ainda poderá usar os metadados osconfig-disabled-features para desabilitar um ou mais recursos do VM Manager.

Ativar a política da organização OS Config

Para ativar a política de configuração do SO, você pode definir a restrição Exigir configuração do SO em toda a organização, pastas ou projetos específicos usando o console do Google Cloud ou a CLI do Google Cloud.

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --folder=folder-id

gcloud beta resource-manager org-policies enable-enforce compute.requireOsConfig \
    --project=project-id

Habilitar VM Manager em um projeto

Para habilitar o VM Manager em seu projeto, você tem duas opções:

• Ativação automática: aplica-se a todo o seu projeto do Google Cloud. Você conclui a ativação automática no console do Google Cloud. Talvez ainda seja necessário concluir algumas etapas manualmente.

• Ativação manual: pode ser feita por VM ou para todo o projeto do Google Cloud.

Habilite a API do serviço OS Config

No seu projeto do Google Cloud, ative a API OS Config.

gcloud services enable osconfig.googleapis.com

Verifique se o agente de configuração do sistema operacional está instalado

O agente OS Config é instalado por padrão em imagens CentOS, Container-Optimized OS (COS), Debian, Red Hat Enterprise Linux (RHEL), Rocky Linux, SLES, Ubuntu e Windows Server que têm uma data de compilação de v20200114 ou posterior. Para obter informações sobre as versões dos sistemas operacionais com o agente de configuração do SO instalado, consulte Detalhes do sistema operacional . Esses agentes são executados ociosamente até que você ative os metadados do agente e a API do serviço .

sudo systemctl status google-osconfig-agent

google-osconfig-agent.service - Google OSConfig Agent
Loaded: loaded (/lib/systemd/system/google-osconfig-agent.service; enabled; vendor preset:
Active: active (running) since Wed 2020-01-15 00:14:22 UTC; 6min ago
Main PID: 369 (google_osconfig)
 Tasks: 8 (limit: 4374)
Memory: 102.7M
CGroup: /system.slice/google-osconfig-agent.service
        └─369 /usr/bin/google_osconfig_agent

PowerShell Get-Service google_osconfig_agent

Status   Name               DisplayName
------   ----               -----------
Running  google_osconfig... Google OSConfig Agent

Instale o agente de configuração do SO

Antes de seguir estas etapas para instalar o agente, verifique se o agente já está em execução na sua VM .

Em cada VM, instale o agente de configuração do SO. Você pode instalar o agente de configuração do SO usando uma das seguintes opções:

• Instale o agente manualmente usando o terminal.
• Use um script de inicialização nas suas VMs.
• Automatize a instalação do OS Config em várias VMs usando uma política de agente do Google Cloud Observability .

Instale o agente manualmente

Use esta opção para instalar o agente de configuração do SO em uma VM existente.

Para instalar o agente, conclua as etapas a seguir:

1. Conecte-se à VM na qual você deseja instalar o agente de configuração do SO.

2. Instale o agente de configuração do SO.

   Servidor Windows

   Para instalar o agente de configuração do sistema operacional em um servidor Windows, execute o seguinte comando:

   googet -noconfirm install google-osconfig-agent
   

   Ubuntu

   Para instalar o agente de configuração do sistema operacional em uma VM Ubuntu, execute os seguintes comandos:

   1. Configure o repositório Ubuntu.

      • Para Ubuntu 20.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-focal-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe o Google Cloud chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Para Ubuntu 18.04 e versões posteriores, execute os seguintes comandos:

        1. Adicione o repositório Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-bionic-stable main' > \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe o Google Cloud chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

      • Para Ubuntu 16.04, execute os seguintes comandos:

        1. Adicione o repositório Ubuntu.

           sudo su -c "echo 'deb http://packages.cloud.google.com/apt google-compute-engine-xenial-stable main'> \
           /etc/apt/sources.list.d/google-compute-engine.list"
           

        2. Importe o Google Cloud chave pública.

           curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
           sudo apt-key add -
           

   2. Instale o agente de configuração do SO.

      sudo apt update
      sudo apt -y install google-osconfig-agent
      

   Debian

   Para instalar o agente de configuração do SO em uma VM Debian, execute os seguintes comandos:

   sudo apt update
   sudo apt -y install google-osconfig-agent
   

   Adicionando o Google Cloud repositório e chave pública

   Se você estiver usando uma instância de VM que não foi criada a partir de uma imagem fornecida pelo Google ou recebeu uma mensagem de erro "não foi possível localizar o pacote", conclua as etapas a seguir para adicionar o Google Cloudrepositório e importe a chave pública.

   Depois de adicionar o repositório e importar a chave, você poderá executar os comandos para instalar o agente de configuração do sistema operacional.

   • Para Debian 9 (Stretch), execute os seguintes comandos:

     1. Adicione o repositório Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-stretch-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe o Google Cloud chave pública.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   • Para Debian 10 (Buster), execute os seguintes comandos:

     1. Adicione o repositório Debian.

        sudo su -c "echo 'deb http://packages.cloud.google.com/apt \
        google-compute-engine-buster-stable main'> /etc/apt/sources.list.d/google-compute-engine.list"
        

     2. Importe o Google Cloud chave pública.

        curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | \
        sudo apt-key add -
        

   RHEL/CentOS/Rocky

   Para instalar o agente de configuração do sistema operacional em uma VM RHEL 7/8, CentOS 7/8 ou Rocky Linux 8/9, execute o seguinte comando:

   sudo yum -y install google-osconfig-agent
   

   SLES/openSUSE

   Para instalar o agente OS Config em uma VM SLES ou openSUSE, execute os seguintes comandos:

   1. Configure o repositório SLES.

      • Para SLES 12, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles12-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        

      • Para SLES 15 e OpenSUSE 15, execute o seguinte comando:

        sudo su -c "cat > /etc/zypp/repos.d/google-compute-engine.repo <<EOM
        [google-compute-engine]
        name=Google Compute Engine
        baseurl=https://packages.cloud.google.com/yum/repos/google-compute-engine-sles15-stable
        enabled=1
        gpgcheck=1
        repo_gpgcheck=0
        gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg
          https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
        EOM"
        
        

   2. Importe as chaves GPG para Google Cloud.

      sudo rpm --import https://packages.cloud.google.com/yum/doc/yum-key.gpg \
      --import https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
      

   3. Instale o agente de configuração do SO.

      sudo zypper -n --gpg-auto-import-keys install --from google-compute-engine google-osconfig-agent
      

Instale o agente usando um script de inicialização

Você também pode usar os comandos de instalação manual para criar um script de inicialização que instale o agente OS Config durante a criação da VM.

1. Copie os comandos manuais para o seu sistema operacional.

2. Forneça o script de inicialização ao seu método de criação de VM.

   Por exemplo, se você estiver usando o comando gcloud compute instances create para criar uma VM Debian 10, seu comando será semelhante ao seguinte:

   gcloud compute instances create VM_NAME \
      --image-family=debian-10 --image-project=debian-cloud \
      --metadata startup-script='#! /bin/bash
      apt update
      apt -y install google-osconfig-agent'

   Substitua VM_NAME pelo nome da sua VM.

3. Verifique se o script de inicialização foi concluído. Para verificar se o script de inicialização foi concluído, revise os logs ou verifique o console serial .

Defina os valores de metadados

Você pode definir metadados de instância em cada VM ou metadados de projeto que se aplicam a todas as VMs em seu projeto.

No seu projeto ou VM do Google Cloud, defina o valor de metadados enable-osconfig como TRUE . Definir o valor de metadados enable-osconfig como TRUE permite o seguinte:

• Correção
• Políticas do sistema operacional
• Gerenciamento de inventário de sistema operacional
  • Para a versão anterior do gerenciamento de inventário do SO, você também deve configurar o valor de metadados enable-guest-attributes como TRUE . Se ambos os valores de metadados não estiverem definidos, o painel no data para a VM. Isso não é necessário para a versão posterior. Para obter informações sobre as duas versões de gerenciamento de inventário de SO, consulte Versões de gerenciamento de inventário de SO .

Configurar um proxy HTTP

Se você usar um proxy HTTP para suas VMs, execute os comandos a seguir para definir as variáveis ​​de ambiente http_proxy e https_proxy . Você também deve excluir o servidor de metadados ( 169.254.169.254 ) configurando a variável de ambiente no_proxy para que o agente de configuração do SO possa acessar o servidor de metadados local.

mkdir -p /etc/systemd/system/google-osconfig-agent.service.d
cat >/etc/systemd/system/google-osconfig-agent.service.d/override.conf <<EOF
[Service]
Environment="http_proxy=http://PROXY_IP:PROXY_PORT" \
  "https_proxy=http://PROXY_IP:PROXY_PORT" \
  "no_proxy=169.254.169.254,metadata,metadata.google.internal"
EOF

systemctl daemon-reload
systemctl restart google-osconfig-agent

tr '\0' '\n' < /proc/$(systemctl show -p MainPID --value google-osconfig-agent)/environ

  setx http_proxy http://PROXY_IP:PROXY_PORT /m
  setx https_proxy http://PROXY_IP:PROXY_PORT /m
  setx no_proxy 169.254.169.254,metadata,metadata.google.internal /m

O Google recomenda que você exclua *.googleapis.com adicionando a variável de ambiente no_proxy para evitar problemas de conexão do agente de configuração do sistema operacional. Se você quiser conectar apenas VMs específicas ao agente de configuração do SO, prefixe a zona em que as VMs estão e use o formato [zone-name]-osconfig.googleapis.com . Por exemplo, us-central1-f-osconfig.googleapis.com .

Desative recursos que você não precisa

Para recursos que talvez você não precise, você pode desativá-los definindo os seguintes valores de metadados: osconfig-disabled-features= FEATURE1 , FEATURE2 .

Substitua FEATURE1 , FEATURE2 por qualquer um dos seguintes valores:

• Gerenciamento de inventário de sistema operacional: osinventory
• Políticas de patch e sistema operacional: tasks
• Políticas de convidados do SO (beta): guestpolicies

Use um dos métodos a seguir para desabilitar os valores de metadados.

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=tasks

gcloud compute project-info add-metadata \
    --project PROJECT_ID \
    --metadata=osconfig-disabled-features=osinventory,guestpolicies

Requisitos para um agente de configuração de SO ativo

Para que o agente de configuração do SO seja considerado ativo e faturável, ele deve atender a todos os seguintes requisitos:

• O VM Manager deve ser configurado .

• A VM deve estar no estado RUNNING e o agente OS Config deve estar se comunicando com o serviço OS Config.

  Se uma VM for interrompida, suspensa ou desconectada da rede, o agente nessa VM não será contado como agente ativo.

Verifique a configuração

Depois de concluir o procedimento de configuração, você poderá verificar a configuração .

Veja as configurações de recursos do VM Manager para seu projeto

Para verificar se todos os recursos do VM Manager estão habilitados em seu projeto, faça o seguinte:

gcloud compute os-config project-feature-settings describe \
    --project PROJECT_ID

name: projects/my-project/locations/global/projectFeatureSettings
patchAndConfigFeatureSet: OSCONFIG_C

   GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   

{
 "name": "projects/my-project/locations/global/projectFeatureSettings",
 "patchAndConfigFeatureSet": "OSCONFIG_C"
}

Habilite a funcionalidade completa do VM Manager

Se o VM Manager não estiver habilitado em seu projeto e você instalar o Ops Agent durante a criação da VM , o VM Manager será habilitado no modo limitado. Neste modo, o VM Manager oferece um subconjunto de recursos para um número ilimitado de VMs sem nenhum custo. Por exemplo, você pode visualizar as atribuições de políticas de SO para suas VMs na página de políticas de SO, mas não pode criar ou editar atribuições de políticas de SO.

Para ativar todos os recursos do VM Manager para essas VMs com o Ops Agent instalado, faça o seguinte:

gcloud compute os-config project-feature-settings update \
    --project PROJECT_ID \
    --patch-and-config-feature-set=full

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/global/projectFeatureSettings
   {
     "name": "projects/PROJECT_ID/locations/global/projectFeatureSettings",
     "patchAndConfigFeatureSet": "OSCONFIG_C"
   }
   

Desative o agente de configuração do sistema operacional

Desabilitar o agente de configuração do SO não afeta o comportamento da sua VM. Você pode desabilitar o agente da mesma forma que interrompe outros serviços do sistema operacional.

sudo systemctl stop google-osconfig-agent
sudo systemctl disable google-osconfig-agent

PowerShell Stop-Service google_osconfig_agent [-StartupType disabled]

O que vem a seguir?

• Crie uma atribuição de política de SO .
• Veja detalhes do sistema operacional .
• Crie trabalhos de patch .
• Saiba mais sobre o Gerenciador de VM .