GCP自動スケーリングと Workload Security
Workload Security では、GEF の管理対象インスタンスグループ(MIG) を介して作成された新しいGCP VMインスタンスに対して、 自動スケーリングをサポートするように自動保護を設定できます。
MIGで作成された各GCP VMインスタンスには、 エージェントがインストールされている必要があります。これには2通りの方法があります。インスタンステンプレートの作成に使用したGCP VMインスタンスに事前インストールされたエージェントを組み込むことも、 インスタンステンプレート に配置スクリプトを組み込んでエージェントをインストールすることもできます。それぞれのオプションにはメリットとデメリットがあります。
- インストール済みAgentを組み込むと、Agentソフトウェアをダウンロードしてインストールする必要がなくなるため、インスタンスが稼働するまでの時間を短縮できます。欠点は、エージェントソフトウェアが最新でない可能性があることです。この問題を回避するには、アップグレード時のバージョンアップ特徴。
- エージェントをインストールするために配置スクリプトを使用する場合は、エージェントソフトウェアの最新バージョンが Workload Securityから常に取得されます。
Agentをプレインストールする
エージェントですでに設定されているGCP VMインスタンスがある場合は、そのインスタンスを使用してMIGのインスタンステンプレートを作成できます。インスタンステンプレートを作成する前に、GCP VMインスタンスでエージェントを無効にしてインスタンスを停止する必要があります。
dsa_control -r
MIGによって作成された新しいGCP VMインスタンスのそれぞれは、エージェントがアクティベートされ、Policyが適用されている必要があります(ポリシーがすでに適用されている場合)。これには次の2つの方法があります。
-
Agentを有効にしてポリシーを適用 (オプション) するインストールスクリプトを作成します。次に、配置スクリプトをGCPインスタンステンプレートに追加して、新しいインスタンスが作成されたときに実行されるようにします。手順については、 次の「配信スクリプトを使用したエージェントのインストール 」のセクションを参照してください。ただし、配信スクリプトでエージェントを取得およびインストールするセクションは省略してください。スクリプトの
dsa_control -a
セクションのみが必要です。配信スクリプトを使用するには、 Workload Securityでエージェントが開始する通信を有効にする必要があります。この設定についての詳細は、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。
-
エージェントをアクティベートする Workload Security コンソールでイベントベースのタスクを設定し、インスタンスの起動時および[コンピュータによって作成された(システム別)]イベントが発生した場合にポリシーを適用することもできます。
インストールスクリプトでAgentをインストールする
Workload Security には、カスタマイズされた配置スクリプトを生成する機能があり、GCP VMインスタンスの作成時に実行できます。GCP VMインスタンスに事前インストールされたエージェントが含まれていない場合、配信スクリプトはエージェントをインストールして有効化し、ポリシーを適用し、必要に応じてコンピュータグループと中継グループにコンピュータを割り当てる必要があります。
Workload Security APIを使用して、エージェントのインストールを自動化する配信スクリプトを生成できます。詳細については、 の配信スクリプトの生成を参照してください。
インストールスクリプトが機能するためには、以下の要件を満たす必要があります。
- 停止しているコンピュータからイメージを作成する必要があります。
- エージェントが開始した通信は、 Workload Securityで有効にする必要があります。この設定についての詳細は、「Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護する」を参照してください。
表示されるコードは、生成されたインストールスクリプトの例です。リージョンによっては、生成するインストールスクリプトが異なる場合があります。
インストールスクリプトを使用してインスタンスの自動保護を設定するには
- Workload Security コンソールにログオンします。
- 右上隅にある Support メニューから、[ Deployment Scripts]を選択します。
- プラットフォームを選択します。
- [インストール後にAgentを自動的に有効化] を選択します。
- 適切な [セキュリティポリシー]、[コンピュータグループ]、および [Relayグループ] を選択します。
- [ クリップボードにコピー]をクリックします。。
-
GCPインスタンステンプレートに移動し、 管理、セキュリティ、ディスク、ネットワーク、唯一のテナント を展開し、展開スクリプトを スタートアップスクリプトに貼り付けます。
GCP MIGの結果、 Workload Security からのインスタンスの削除
Workload SecurityでGCPアカウントを追加すると、Managed Instance Groupの結果としてGCPに存在しなくなったインスタンスは、自動的に Workload Securityから削除されます。
GCPアカウントの追加の詳細については、 Google Cloud Platformアカウント の追加をご覧ください。