GCP VM Manager 小記

GCP VM Manager 小記

最近跟同事討論 CVE 檢查與升級, 就想說來寫這一篇

今天來實作 GCP VM Manager 

• 以下方式是針對 無組織的單一專案進行設定

登入 GCP Console

首先要啟用 API 

點選 APIs & Services -- > 點選 Library

搜尋 VM Manager

這個時候可以看到 VM Manager ( OS Config API )

點選 VM Manager ( OS Config API) 的 Enable 啟用 API

接下來要設定 中繼資料 (Metadata)

前往 Compute Engine > 設定 (Settings) 下面的 中繼資料 (Metadata)

點選 Edit

點選 Add item

輸入以下 2 組 Key - Value

• enable-osconfig: TRUE

• enable-guest-attributes: TRUE

點選 Save 儲存

確認相關資訊

接下來可以建立 GCE Instance

建立後可以觀察 VM Manager 的 Patch

在 Dashboard 可以看到目前 VM 的數量 以及不同 OS 的分布狀況

點選 VM Instances 也可以同步看到 OS 目前的 Status

這邊可以觀察到目前 Ubuntu 24.04 是 Up-to-date, Oracle Linux 則是 Other updates available

點選 Oracle Linux instance 觀察資訊

這邊可以觀察到 有 267 套件可以升級, 然後也有 CVE 欄位

在 OS 內同步比對

接下來嘗試在VM instance details 的視窗 升級套件

勾選其中一個套件 (這邊以 at 套件為例) -- > 點選 Apply update

這個時候就會被轉到 Create patch job 視窗

然後是以手動選取 VM 的方式, 也已經選取剛剛的 VM

點選 Next

輸入 Patch Job 名稱

點選 Next

• 這個時候可以觀察到 YUM 選項, 自動被選取到 Select update 欄位, 然後剛剛勾選的套件也被填入

接下來決定這個 Job 執行方式

點選 Next

• 這邊預設是馬上指行, 也可以排定自訂的時間

接下來是 Rollout options

因爲是單台的實驗, 沒有單一 zone / 多 zone 的考量與置換百分比與 VM 數量設置需求

點選 Next

Advanced options 就按照預設

點選 Deploy

也可以同步觀察如果是指令的方式該如何

接下來會顯示 Job 執行畫面

執行的結果可以在 Jobs run 分頁觀察

• 可以點進 Job 看詳細資訊與 log

這個時候再次觀察 VM instance details 視窗與 OS 內觀察

• 這邊就會觀察到相關套件已經被更新

接下來嘗試在 Oracle Linux 進行套件更新

$sudo  dnf  update

在升級的過程, 也可以看到套件數是有同步的

升級完畢後, VM Manager 的 Patch 也會同步顯示狀態

寫一下目前的實作感想

• VM Manager 可以反應目前的 OS patch 狀態

• Patch 可透過 Job 定時/自訂時間去執行升級工作, 顯示上也可以看到 CVE 欄位

又前進一步

~ enjoy it