GCP自動スケーリングと Workload Security
Workload Security では、GEF の管理対象インスタンスグループ(MIG) を介して作成された新しいGCP VMインスタンスに対して、 自動スケーリングをサポートするように自動保護を設定できます。
MIGを介して作成された各GCP VMインスタンスには、エージェントがインストールされている必要があります。これを行うには、インスタンステンプレートの作成に使用するプレインストールされたエージェントをGCP VMインスタンスに含める方法と、イメージの インスタンステンプレート にデプロイスクリプトを含めてエージェントをインストールする方法の2つがあります。
- プレインストールされたAgentを含めると、Agentソフトウェアをダウンロードしてインストールする必要がないため、インスタンスがより迅速に起動します。欠点は、Agentソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレード を有効にします。
- 配信スクリプトを使用してエージェントをインストールする場合は、常に最新バージョンのエージェントソフトウェアがWorkload Securityから取得されます。
エージェントのプレインストール
エージェントですでに設定されているGCP VMインスタンスがある場合は、そのインスタンスを使用してMIGのインスタンステンプレートを作成できます。インスタンステンプレートを作成する前に、GCP VMインスタンスでエージェントを無効にしてインスタンスを停止する必要があります。
dsa_control -r
MIGによって作成された新しいGCP VMインスタンスごとに、エージェントを有効にしてポリシーを適用する必要があります (まだポリシーが適用されていない場合)。これを行うには、次の2つの方法があります。
-
Agentを有効にし、必要に応じてポリシーを適用する配信スクリプトを作成できます。次に、新しいインスタンスの作成時に実行されるように、GCPインスタンステンプレートにデプロイスクリプトを追加します。手順については、インストールスクリプトを使用したエージェントのインストール を参照してください。ただし、エージェントを取得してインストールする配信スクリプトのセクションは省略します。スクリプトの
dsa_control -a
セクションのみが必要です。配信スクリプトを機能させるには、Workload SecurityでAgentからの通信を有効にする必要があります。詳細については、Agentからの有効化と通信を使用したAgentの有効化と保護 を参照してください。
-
Workload Securityコンソールでイベントベースのタスクを設定できます。このタスクでは、エージェントをアクティブ化し、必要に応じて、インスタンスが起動されてコンピュータによって作成されたイベント (システム別) が発生したときにポリシーを適用できます。
インストールスクリプトでAgentをインストールする
Workload Securityには、GCP VMインスタンスの作成時に実行できるカスタマイズされたデプロイスクリプトを生成する機能があります。プレインストールされたエージェントをインストールして有効化し、ポリシーを適用し、必要に応じてコンピュータグループとRelayグループにコンピュータを割り当てます。
Workload Security APIを使用して、エージェントのインストールを自動化する配信スクリプトを生成できます。詳細については、 の配信スクリプトの生成を参照してください。
インストールスクリプトが機能するためには、以下の要件を満たす必要があります。
- 停止しているコンピュータからイメージを作成する必要があります。
- Workload Securityで、Agentからの通信を有効にする必要があります。詳細については、Agentからの有効化と通信を使用したAgentの有効化と保護 を参照してください。
表示されるコードは、生成されたインストールスクリプトの例です。リージョンによっては、生成するインストールスクリプトが異なる場合があります。
インストールスクリプトを使用してインスタンスの自動保護を設定するには
- Workload Security コンソールにログオンします。
- 右上の [ Support ] メニューから、[ Deployment Scripts] を選択します。
- プラットフォームを選択します。
- [インストール後にAgentを自動的に有効化] を選択します。
- 適切な [セキュリティポリシー]、[コンピュータグループ]、および [Relayグループ] を選択します。
- [ クリップボードにコピー]をクリックします。。
-
GCPインスタンステンプレートに移動し、 管理、セキュリティ、ディスク、ネットワーク、唯一のテナント を展開し、展開スクリプトを スタートアップスクリプトに貼り付けます。
GCP MIGの結果、 Workload Security からのインスタンスの削除
Workload SecurityにGCPアカウントを追加すると、マネージドインスタンスグループによってGCPに存在しなくなったインスタンスは、Workload Securityから自動的に削除されます。
GCPアカウントの追加の詳細については、 Google Cloud Platformアカウント の追加をご覧ください。