Questa pagina fornisce una panoramica della funzionalità dell'orchestratore delle policy del sistema operativo in VM Manager e delle relative funzionalità per la gestione delle policy del sistema operativo su larga scala in progetti e zone.
Per utilizzare questa funzionalità, devi conoscere le policy del sistema operativo e le relative assegnazioni.
L'orchestratore delle policy ti aiuta a creare, aggiornare ed eliminare in modo iterativo le assegnazioni delle policy del sistema operativo nelle tue risorse e riduce al minimo gli errori. Puoi anche monitorare lo stato di implementazione complessivo delle assegnazioni delle policy del sistema operativo nella tua organizzazione e nelle cartelle. Se le assegnazioni delle policy non vanno a buon fine, puoi modificare o eliminare l'orchestratore delle policy.
Casi d'uso
Puoi utilizzare l'orchestratore delle policy per eseguire queste attività comuni:
Applica le policy all'intera organizzazione
Utilizza l'orchestratore delle policy per applicare gradualmente le modifiche alle policy del sistema operativo in più progetti e in più zone della tua organizzazione. L'esempio seguente descrive un tipico caso d'uso di un orchestratore delle policy.
Vuoi applicare le policy del sistema operativo alle VM in alcuni progetti nella cartella A della tua organizzazione. Considera due progetti di test, Progetto A e Progetto B, nella cartella A. Per applicare le policy del sistema operativo a questi due progetti:
- Crea un orchestratore delle policy del sistema operativo nella cartella A e imposta l'ambito su Progetto A e Progetto B.
- Se l'orchestrazione va a buon fine, espandi l'ambito aggiungendo altri progetti in passaggi graduali e successivi. Puoi anche disattivare completamente il filtro dell'ambito per implementare le modifiche su tutti i progetti nella cartella A.
La seguente figura mostra come l'orchestratore delle policy del sistema operativo applica le policy del sistema operativo alle tue risorse.
Crea automaticamente policy in nuovi progetti e nuove zone
Quando Google rende disponibili nuove località Google Cloud o quando crei o sposti progetti Google Cloud nella tua organizzazione, l'orchestratore delle policy individua automaticamente queste modifiche e applica le policy in nuove località e progetti. Puoi anche definire l'ambito dell'orchestrazione e applicare le modifiche a progetti e risorse specifici.
Nota che i singoli proprietari di progetti possono rimuovere o modificare le policy create dall'orchestratore, ma questo le inserisce o aggiorna nell'iterazione successiva.
Come funziona l'orchestratore delle policy del sistema operativo
Quando crei un orchestratore delle policy del sistema operativo, puoi specificare un file delle policy del sistema operativo esistente e l'ambito dell'orchestrazione. L'orchestratore delle policy applica quindi la policy del sistema operativo alle tue risorse in modo iterativo. In ogni iterazione, l'orchestratore delle policy identifica le risorse nell'ambito dell'orchestrazione ed esegue l'azione richiesta su queste risorse.
Ogni orchestratore delle policy può eseguire una delle seguenti azioni:
- Creare o aggiornare (eseguire l'upsert) una policy del sistema operativo esistente
- Eliminare una policy del sistema operativo
Oltre al tipo di azione, l'orchestratore delle policy contiene un ID policy e un payload delle policy. Per ogni coppia progetto-zona nell'ambito dell'orchestrazione, l'orchestratore delle policy crea una risorsa specifica per il payload delle policy e per l'ID policy specificato. Per eliminare le assegnazioni delle policy del sistema operativo utilizzando l'orchestratore delle policy, devi specificare questo ID policy.
Passaggi successivi
- Scopri i prerequisiti per l'utilizzo dell'orchestratore delle policy.
- Scopri come gestire le assegnazioni delle policy del sistema operativo utilizzando l'orchestratore delle policy.