ゲストポリシー（レガシー）を管理する

ゲストポリシーを作成したら、次の手順でポリシーを確認、管理できます。

• ゲストポリシーを更新する: ゲストポリシーの構成を変更します。
• ゲストポリシーについて記述する: 特定のゲストポリシーについての詳細です。
• ゲストポリシーをリストする: プロジェクト内のゲストポリシーを一覧表示します。
• ゲストを削除する: 特定のゲストポリシーを削除します。
• VM インスタンスの構成を表示する: VM インスタンスに適用されている構成を表示します。
• ゲストポリシーをデバッグする: ゲストポリシーをトラブルシューティングします。

OS Config エージェントは 10～15 分ごとに動作するため、ポリシーの更新や削除を設定すると、実施されるまで約 10～15 分かかります。

ゲストポリシーは、Google Cloud CLI または REST を使用して管理できます。

始める前に

• OS Config の割り当てを確認します。
• まだ設定していない場合は、認証を設定します。認証では、 Google Cloud サービスと API にアクセスするための ID が確認されます。ローカル開発環境からコードまたはサンプルを実行するには、次のいずれかのオプションを選択して Compute Engine に対する認証を行います。

  Select the tab for how you plan to use the samples on this page:

  gcloud

  1. Google Cloud CLI をインストールします。 インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

     gcloud init

     外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  2. Set a default region and zone.

  REST

  このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。

  Google Cloud CLI をインストールします。 インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。

  gcloud init

  外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  詳細については、 Google Cloud 認証ドキュメントの REST を使用して認証するをご覧ください。

ゲストポリシーを更新する

ゲストポリシーの更新は、次の手順で行います。

1. YAML または JSON ファイルを更新します。
2. 更新コマンドまたはパッチコマンドを実行します。更新プロセスは作成プロセスと似ていますが、同時実行と整合性の制御が可能な ETag のサポートが追加されています。

gcloud beta compute os-config guest-policies update POLICY_ID \
     --file=FILE

PATCH https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID

{
  For more information, see Guest policy JSON
}

ゲストポリシーについて記述する

gcloud beta compute os-config guest-policies describe POLICY_ID

GET https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID

ゲストポリシーの一覧を表示する

gcloud beta compute os-config guest-policies list

GET https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies

ゲストポリシーを削除する

ゲストポリシーの削除がトリガーされたことを OS Config エージェントが検出すると、システムの現在の状態は維持されますが、構成にはメンテナンスが行われなくなります。たとえば、ゾーン us-west2-b のすべての VM でパッケージ my-package をインストールし、パッケージ UPDATED を保持するゲストポリシー package-update-zone2b が設定されているとします。

package-update-zone2b ポリシーを削除すると、次の変更が行われます。

• my-package がインストールされている us-west2-b のすべての VM で、my-package がインストールされたままになります。現在のシステム状態は元に戻りません。

• ポリシーを削除した後は、OS Config エージェントを実行すると、必ず次のようになります。

  • 新しい VM が us-west2-b に追加された場合、my-package がこの新しい VM にインストールされません。
  • my-package がインストールされているインスタンスでは、パッケージは更新されません。

gcloud beta compute os-config guest-policies delete POLICY_ID

DELETE https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID

VM インスタンスの構成を表示する

gcloud beta compute os-config guest-policies lookup VM_NAME \
    --zone=ZONE

POST https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:lookupEffectiveGuestPolicy

トラブルシューティング

ゲストポリシーを調べる

Google Cloud コンソールまたは Google Cloud CLI を使用して、プロジェクトに関連付けられているゲストポリシーを調べることができます。

特定の VM に対するゲストポリシーを調べる

lookup コマンドを特定の VM に実行して、その VM に適用される構成を調べることができます。

ある VM インスタンスが予想されるゲストポリシーの要件を満たしていない可能性がある場合は、その VM インスタンスに割り当てられているゲストポリシーのリストを調べると役立ちます。これにより、ゲストポリシーの Assignment フィールドがこの特定 VM と一致するかどうかがわかります。

os-config guest-policies lookup コマンドを使用して、特定の VM をターゲットにしている可能性があるゲストポリシーを一覧表示します。VM_NAME は、検査する VM の名前に置き換えます。

gcloud beta compute os-config guest-policies lookup VM_NAME

詳しくは、VM インスタンスの構成を表示するをご覧ください。

コマンドの出力結果から、ゲストポリシーの VM 割り当てプロパティで VM は実際にターゲットになっていないことがわかるでしょう。たとえば、Labels のリストや VM 名接頭辞のリストに表示されていません。

障害から復旧する

ソフトウェア レシピのインストールは失敗しても、再試行されません。これは、ソフトウェア レシピが失敗したときの状態がシステムで認識されないためです。

失敗したソフトウェア レシピをデバッグする場合は、次の手順を行うことをおすすめします。

1. ソフトウェア レシピの名前を変更する。
2. 名前を変更したソフトウェア レシピを使用してゲストポリシーを削除して再作成する。

その他のトラブルシューティングの手順については、VM Manager のトラブルシューティングをご覧ください。

次のステップ

• OS ゲストポリシー（従来）について学習する。
• ゲストポリシーを設定する。