檢視次數:
您可以在 Server & Workload Security保護 中為透過 GCP 受管實例群組 (MIG) 建立的新 GCP VM 實例設定自動保護,以支援 自動調整
每個透過 MIG 建立的 GCP VM 實例都需要安裝代理程式。您可以透過兩種方式來完成此操作:您可以在用於建立實例範本的 GCP VM 實例中包含預先安裝的代理程式,或者您可以在映像的 實例範本 中包含部署程式檔來安裝代理程式。每個選項都有其優缺點:
  • 如果您包含預先安裝的代理程式,實例將更快啟動,因為不需要下載和安裝代理程式軟體。缺點是代理程式軟體可能不是最新的。為了解決此問題,您可以啟用啟動時升級功能。
  • 如果您使用部署程式檔來安裝代理程式,它將始終從Server & Workload Security保護獲取代理程式軟體的最新版本。

預先安裝代理程式 上層主題

如果您已經配置了代理的 GCP VM 實例,您可以使用該實例來創建 MIG 的實例模板。在創建實例模板之前,您必須停用 GCP VM 實例上的代理並停止該實例:
dsa_control -r
每個由 MIG 建立的新 GCP VM 實例都需要啟用其代理並應用策略(如果尚未應用)。有兩種方法可以做到這一點:
  • 您可以建立一個部署程式檔來啟動代理程式,並選擇性地套用政策。然後將部署程式檔新增到 GCP 實例範本中,以便在建立新實例時執行。 有關指示,請參閱下方的 使用部署程式檔安裝代理程式 部分,但省略部署程式檔中獲取和安裝代理程式的部分。您只需要程式檔中的 dsa_control -a 部分。
    注意
    注意
    要使部署腳本正常運作,必須在Server & Workload Security保護中啟用代理發起的通訊。關於此設定的詳細資訊,請參閱使用代理發起的啟動和通訊來啟動和保護代理
  • 您可以在 Server & Workload Security保護 控制台中設置基於事件的任務,當實例啟動並發生「電腦防護已建立(由系統)」事件時,將激活代理並可選擇性地應用策略。

使用部署程式檔安裝代理程式 上層主題

Server & Workload Security保護 提供產生自訂部署程式檔的功能,您可以在建立 GCP VM 執行個體時執行這些程式檔。如果 GCP VM 執行個體未包含預先安裝的代理程式,部署程式檔應安裝代理程式、啟用它、套用政策,並可選擇性地將機器指派到電腦群組和中繼群組。
秘訣
秘訣
您可以使用 Server & Workload Security保護 API 生成部署程式檔來自動化代理程式安裝。欲了解詳細資訊,請參閱 生成部署程式檔
為了使部署程式檔正常運作:
注意
注意
顯示的程式碼是生成的部署程式檔範例。根據您所在的地區,您生成的部署程式檔可能會有所不同。
要使用部署程式檔為實例設置自動保護:

步驟

  1. 登入 Server & Workload Security保護 控制台。
  2. 從右上角的技術支援中心選單中,選擇Deployment Scripts
  3. 選擇您的平台。
  4. 選擇Activate Agent automatically after installation
  5. 選擇適當的Security Policy電腦群組Relay Group
  6. 點選 Copy to Clipboard
  7. 前往 GCP 實例範本,展開 Management, security, disks, networking, sole tenancy 並將部署程式檔貼到 Startup script
    google-gcp-instance-template=9647ddb1-dfe1-4fdc-806e-e0127195ea9f.png

接下來需執行的動作

由於 GCP MIGs,從 Server & Workload Security保護 刪除實例 上層主題

Server & Workload Security保護中新增 GCP 帳戶後,由於受管實例群組導致 GCP 中不再存在的實例將自動從Server & Workload Security保護中移除。
請參閱 新增 Google 雲端平台帳戶 以了解有關新增 GCP 帳戶的詳細資訊。