GCP自動スケーリングと Workload Security

GCP マネージドインスタンスグループ (MIG)を通じて作成された新しいGCP VMインスタンスに対して、自動スケーリングをサポートするためにWorkload Securityで自動保護を設定できます。

各MIGを通じて作成されたGCP VMインスタンスには、エージェントをインストールする必要があります。これには2つの方法があります。インスタンステンプレートを作成するために使用されるGCP VMインスタンスに事前にインストールされたエージェントを含めるか、イメージのインスタンステンプレートにデプロイスクリプトを含めてエージェントをインストールするかです。それぞれのオプションには長所と短所があります。

プリインストールされたエージェントを含めると、エージェントソフトウェアをダウンロードしてインストールする必要がないため、インスタンスがより迅速に起動します。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アクティベーション時のアップグレードを有効にすることができます。
配信スクリプトを使用してエージェントをインストールする場合は、常に最新バージョンのエージェントソフトウェアがWorkload Securityから取得されます。

エージェントのプレインストール

エージェントですでに設定されているGCP VMインスタンスがある場合は、そのインスタンスを使用してMIGのインスタンステンプレートを作成できます。インスタンステンプレートを作成する前に、GCP VMインスタンスでエージェントを無効にしてインスタンスを停止する必要があります。

dsa_control -r

MIGによって作成された新しいGCP VMインスタンスごとに、エージェントを有効にしてポリシーを適用する必要があります (まだポリシーが適用されていない場合)。これを行うには、次の2つの方法があります。

デプロイメントスクリプトを作成してエージェントをアクティブ化し、オプションでポリシーを適用することができます。次に、デプロイメントスクリプトをGCPインスタンステンプレートに追加して、新しいインスタンスが作成されるときに実行されるようにします。手順については、デプロイメントスクリプトでエージェントをインストールするを参照してください。ただし、エージェントを取得してインストールするデプロイメントスクリプトのセクションは省略してください。スクリプトのdsa_control -aセクションのみが必要です。

デプロイメントスクリプトを機能させるには、Workload Securityでエージェント開始の通信を有効にする必要があります。詳細については、エージェント開始のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。
Workload Securityコンソールでイベントベースのタスクを設定できます。このタスクでは、エージェントをアクティブ化し、必要に応じて、インスタンスが起動されてコンピュータによって作成されたイベント (システム別) が発生したときにポリシーを適用できます。

インストールスクリプトでAgentをインストールする

Workload Securityには、GCP VMインスタンスの作成時に実行できるカスタマイズされたデプロイスクリプトを生成する機能があります。プレインストールされたエージェントをインストールして有効化し、ポリシーを適用し、必要に応じてコンピュータグループとRelayグループにコンピュータを割り当てます。

Workload Security APIを使用してエージェントのインストールを自動化するためのデプロイメントスクリプトを生成できます。詳細については、デプロイメントスクリプトの生成を参照してください。

インストールスクリプトが機能するためには、以下の要件を満たす必要があります。

停止しているコンピュータからイメージを作成する必要があります。
Workload Securityでエージェント開始の通信を有効にする必要があります。詳細については、エージェント開始のアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。

表示されるコードは、生成されたインストールスクリプトの例です。リージョンによっては、生成するインストールスクリプトが異なる場合があります。

インストールスクリプトを使用してインスタンスの自動保護を設定するには

手順

Workload Security コンソールにログオンします。
右上の [サポート] メニューから、[インストールスクリプト] を選択します。
プラットフォームを選択します。
[インストール後にAgentを自動的に有効化] を選択します
適切な [セキュリティポリシー]、[コンピュータグループ]、および [Relayグループ] を選択します。
[クリップボードにコピー]をクリックします。
GCPインスタンステンプレートに移動し、[管理、セキュリティ、ディスク、ネットワーク、唯一のテナント] を展開し、展開スクリプトを [スタートアップスクリプト]に貼り付けます。

GCP MIGの結果、 Workload Security からのインスタンスの削除

Workload SecurityにGCPアカウントを追加すると、マネージドインスタンスグループによってGCPに存在しなくなったインスタンスは、Workload Securityから自動的に削除されます。

詳細については、Google Cloud Platformアカウントを追加するを参照してください。