Dopo aver creato una policy guest, puoi utilizzare le seguenti procedure per esaminare e gestire le policy:
- Aggiorna le policy guest: modifica le configurazioni delle policy guest.
- Descrivi le policy guest: visualizza i dettagli di una policy guest specifica.
- Elenca le policy guest: visualizza un elenco delle policy guest in un progetto.
- Elimina una policy guest: elimina una policy guest specifica.
- Visualizza le configurazioni per un'istanza VM: visualizza le configurazioni applicate a un'istanza VM.
- Esegui il debug di una policy guest: risolvi i problemi relativi a una policy guest.
Poiché l'agente OS Config viene eseguito ogni 10-15 minuti, quando configuri un aggiornamento o un'eliminazione di una policy, l'operazione diventerà effettiva dopo circa 10-15 minuti.
Puoi gestire le policy guest utilizzando Google Cloud CLI o REST.
Prima di iniziare
- Esamina le quote di OS Config.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione verifica la tua identità per l'accesso ad API e servizi Google Cloud . Per eseguire
codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Seleziona la scheda relativa alla modalità di utilizzo degli esempi in questa pagina:
gcloud
-
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
-
- Imposta una regione e una zona predefinite.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI.
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.
Per saperne di più, consulta Autenticati per usare REST nella Google Cloud documentazione sull'autenticazione di.
Aggiornare le policy guest
Per aggiornare una policy guest, segui questi passaggi:
- Aggiorna il file YAML o JSON.
- Esegui un comando di aggiornamento o applicazione patch. La procedura di aggiornamento è simile a quella di creazione, con l'aggiunta del supporto per gli etag che consentono il controllo della concorrenza e della coerenza.
gcloud
Utilizza il
os-config guest-policies update
comando per aggiornare una policy guest.
gcloud beta compute os-config guest-policies update POLICY_ID \
--file=FILE
Sostituisci quanto segue:
POLICY_ID: il nome della policy guest che vuoi aggiornare.FILE: il file JSON o YAML contenente le specifiche aggiornate della policy guest.
REST
Nell'API, crea una richiesta PATCH
al metodo
projects.guestPolicies.patch.
PATCH https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID
{
For more information, see Guest policy JSON
}
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.POLICY_ID: il nome della tua policy guest.
Descrivere una policy guest
gcloud
Per visualizzare i dettagli di una policy guest, utilizza il
os-config guest-policies describe
comando. Sostituisci POLICY_ID con il nome della policy guest che vuoi descrivere.
gcloud beta compute os-config guest-policies describe POLICY_ID
REST
Nell'API, crea una richiesta GET
al metodo
projects.guestPolicies.get.
GET https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.POLICY_ID: il nome della tua policy guest.
Elencare le policy guest
gcloud
Per visualizzare un elenco delle policy guest nel tuo progetto, utilizza il
os-config guest-policies list
comando.
gcloud beta compute os-config guest-policies list
REST
Nell'API, crea una richiesta GET al metodo
projects.guestPolicies.list. Sostituisci PROJECT_ID con il tuo ID progetto.
GET https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies
Eliminare le policy guest
Quando l'agente OS Config rileva che è stata attivata l'eliminazione di una policy guest, lo stato attuale del sistema viene mantenuto, ma non viene eseguita alcuna ulteriore manutenzione della configurazione. Ad esempio, supponiamo che tu abbia configurato una policy guest package-update-zone2b che installa un pacchetto my-package su tutte le VM nella zona us-west2-b e mantiene il pacchetto UPDATED.
Se elimini la policy package-update-zone2b, si verificano le seguenti modifiche:
- Tutte le VM in
us-west2-bsu cui è installatomy-packagemantengono l'installazione dimy-package. Non viene eseguito alcun ripristino dello stato attuale del sistema. In tutte le esecuzioni future dell'agente OS Config, dopo l'eliminazione della policy, si verifica quanto segue:
- Se viene aggiunta una nuova VM a
us-west2-b,my-packagenon viene installato su questa nuova VM. - Per le istanze su cui è installato
my-package, il pacchetto non viene aggiornato.
- Se viene aggiunta una nuova VM a
gcloud
Per eliminare una policy guest, utilizza il
os-config guest-policies delete
comando. Sostituisci POLICY_ID con il nome della policy guest che vuoi eliminare.
gcloud beta compute os-config guest-policies delete POLICY_ID
REST
Nell'API, crea una richiesta DELETE
al metodo
projects.guestPolicies.delete.
DELETE https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/guestPolicies/POLICY_ID
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.POLICY_ID: il nome della tua policy guest.
Visualizzare le configurazioni per un'istanza VM
gcloud
Per visualizzare le policy applicate a una singola istanza VM, utilizza il
os-config guest-policies lookup
comando.
gcloud beta compute os-config guest-policies lookup VM_NAME \
--zone=ZONE
Sostituisci quanto segue:
VM_NAME: il nome dell'istanza VM.ZONE: la zona per l' istanza VM.
REST
Per visualizzare le policy applicate a una singola istanza VM, utilizza
la seguente POST richiesta.
POST https://osconfig.googleapis.com/v1beta/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME:lookupEffectiveGuestPolicy
Sostituisci quanto segue:
PROJECT_ID: il tuo ID progetto.ZONE: la zona per l' istanza VM.VM_NAME: il nome dell'istanza VM.
Risoluzione dei problemi
Esaminare le policy guest
Puoi utilizzare la Google Cloud console o Google Cloud CLI per esaminare le policy guest associate al tuo progetto.
Console
Nella Google Cloud console, vai alla pagina Policy guest del sistema operativo.
Seleziona la policy guest che vuoi esaminare, quindi fai clic su VISUALIZZA DETTAGLI.
gcloud
Utilizza il
os-config guest-policies listcomando per elencare tutte le policy guest.gcloud beta compute os-config guest-policies list
Dall'elenco delle policy guest, copia gli ID delle policy guest che vuoi esaminare, quindi esegui il comando per esaminare ciascuna delle policy guest. Sostituisci
POLICY_IDcon l'ID della policy che vuoi esaminare.gcloud beta compute os-config guest-policies describe POLICY_ID
Esaminare le policy guest per una VM specifica
Puoi eseguire il comando lookup per una determinata VM per vedere quali configurazioni si applicano a quella VM.
Nei casi in cui una VM non sembra applicare i requisiti della policy guest prevista, è utile esaminare l'elenco delle policy guest le cui assegnazioni includono quella specifica istanza VM. In questo modo puoi determinare se il campo Assignment nella policy guest corrisponde a questa VM specifica.
Utilizza il comando os-config guest-policies lookup
per elencare le policy guest che potrebbero essere destinate a una determinata VM.
Sostituisci VM_NAME con il nome della VM da esaminare.
gcloud beta compute os-config guest-policies lookup VM_NAME
Per ulteriori informazioni, vedi Visualizzare le configurazioni per un'istanza VM.
L'output del comando potrebbe rivelare che la VM non è effettivamente destinata alle proprietà di assegnazione della VM della policy guest. Ad esempio, potrebbe non essere elencata nell'elenco di Labels o nell'elenco dei prefissi dei nomi delle VM.
Recuperare da un errore
Non viene eseguito un nuovo tentativo di installazione di una formula software non riuscita. Questo perché il sistema non conosce lo stato in cui la formula software non riuscita ha lasciato le cose.
Quando esegui il debug delle formule software non riuscite, ti consigliamo di seguire questi passaggi:
- Rinomina la formula software.
- Elimina e ricrea la policy guest utilizzando la formula software rinominata.
Per ulteriori passaggi di risoluzione dei problemi, vedi Risoluzione dei problemi di VM Manager.
Passaggi successivi
- Scopri di più sulle policy guest del sistema operativo (legacy).
- Configura una policy guest.