Sie können den automatischen Schutz in Server- und Workload Protection für neue GCP-VM-Instanzen einrichten, die über GCP verwaltete Instanzgruppen (MIGs) erstellt wurden, um automatische Skalierung zu unterstützen.
Jede GCP-VM-Instanz, die über eine MIG erstellt wird, muss einen Agenten installiert
haben. Es gibt zwei Möglichkeiten, dies zu tun: Sie können einen vorinstallierten
Agenten in die GCP-VM-Instanz aufnehmen, die zur Erstellung der Instanzvorlage verwendet
wird, oder Sie können den Agenten installieren, indem Sie ein Bereitstellungsskript
in die Instanzvorlage für das Image einfügen. Es gibt Vor- und Nachteile für jede Option:
- Wenn Sie einen vorinstallierten Agenten einbeziehen, werden Instanzen schneller hochgefahren, da der Agent nicht heruntergeladen und installiert werden muss. Der Nachteil ist, dass die Agentensoftware möglicherweise nicht die neueste Version ist. Um dieses Problem zu umgehen, können Sie die Funktion Upgrade bei Aktivierung aktivieren.
- Wenn Sie ein Bereitstellungsskript verwenden, um den Agenten zu installieren, wird immer die neueste Version der Agentensoftware von Server- und Workload Protection bezogen.
Agent vorinstallieren 
Wenn Sie bereits eine GCP-VM-Instanz mit einem Agenten konfiguriert haben, können
Sie diese Instanz verwenden, um die Instanzvorlage für die MIG zu erstellen. Bevor
Sie die Instanzvorlage erstellen, müssen Sie den Agenten auf der GCP-VM-Instanz deaktivieren
und die Instanz stoppen:
dsa_control -rJede neue GCP-VM-Instanz, die von der MIG erstellt wird, muss ihren Agenten aktiviert
haben und eine Richtlinie darauf angewendet werden, falls noch keine vorhanden ist.
Es gibt zwei Möglichkeiten, dies zu tun:
-
Sie können ein Bereitstellungsskript erstellen, das den Agenten aktiviert und optional eine Richtlinie anwendet. Fügen Sie dann das Bereitstellungsskript zur GCP-Instanzvorlage hinzu, damit es ausgeführt wird, wenn eine neue Instanz erstellt wird. Anweisungen finden Sie im Abschnitt Installieren Sie den Agenten mit einem Bereitstellungsskript unten, aber lassen Sie den Abschnitt des Bereitstellungsskripts weg, der den Agenten abruft und installiert. Sie benötigen nur den
dsa_control -a-Abschnitt des Skripts.
Hinweis
Damit die Bereitstellungsskripts funktionieren, muss die agenteninitiierte Kommunikation in Server- und Workload Protection aktiviert sein. Einzelheiten zu dieser Einstellung finden Sie unter Aktivieren und Schützen von Agenten mit agenteninitiierter Aktivierung und Kommunikation. -
Sie können im Server- und Workload Protection-Konsolen eine ereignisbasierte Aufgabe einrichten, die den Agenten aktiviert und optional eine Richtlinie anwendet, wenn eine Instanz gestartet wird und das Ereignis "Computer erstellt (durch System)" eintritt.
Installieren Sie den Agenten mit einem Bereitstellungsskripts
Server- und Workload Protection bietet die Möglichkeit, angepasste Bereitstellungsskripts zu erstellen, die Sie ausführen
können, wenn GCP-VM-Instanzen erstellt werden. Falls die GCP-VM-Instanz keinen vorinstallierten
Agenten enthält, sollte das Bereitstellungsskript den Agenten installieren, aktivieren,
eine Richtlinie anwenden und optional die Maschine einer Computergruppe und einer
Relay-Gruppe zuweisen.
 |
TippSie können Bereitstellungsskripts generieren, um die Agenteninstallation mithilfe
der Server- und Workload Protection-API zu automatisieren. Weitere Informationen finden Sie unter Bereitstellungsskript generieren.
|
Damit das Bereitstellungsskript funktioniert:
- Sie müssen Images von gestoppten Maschinen erstellen.
- Die agenteninitiierte Kommunikation muss in Server- und Workload Protection aktiviert sein. Weitere Informationen zu dieser Einstellung finden Sie unter Aktivieren und Schützen von Agenten mit agenteninitiierter Aktivierung und Kommunikation.
|
HinweisDer angezeigte Code ist ein Beispiel für ein generiertes Bereitstellungsskript. Je
nach Ihrer Region kann das von Ihnen generierte Bereitstellungsskript unterschiedlich
sein.
|
Um den automatischen Schutz für Instanzen mithilfe eines Bereitstellungsskripts einzurichten:
Prozedur
- Melden Sie sich bei der Server- und Workload Protection-Konsole an.
- Wählen Sie im Menü Support in der oberen rechten Ecke Deployment Scripts aus.
- Wählen Sie Ihre Plattform aus.
- Wählen Sie Activate Agent automatically after installation aus.
- Wählen Sie den entsprechenden Sicherheitsrichtlinie, Computergruppe und Relay Group aus.
- Klicken Sie auf Copy to Clipboard.
- Gehen Sie zu den GCP-Instanzvorlagen, erweitern Sie Management, security, disks, networking, sole tenancy und fügen Sie das Bereitstellungsskript in Startup script ein.
Nächste Schritte
Instanzen von Server- und Workload Protection aufgrund von GCP MIGs löschen
Nachdem Sie ein GCP-Konto in Server- und Workload Protection hinzugefügt haben, werden Instanzen, die aufgrund der Managed Instance Group nicht
mehr in GCP existieren, automatisch aus Server- und Workload Protection entfernt.
Siehe Hinzufügen eines Google Cloud Platform-Kontos für Details zum Hinzufügen eines GCP-Kontos.