Google Cloud Platform

无论选择哪个保护范围，这些要求均适用。

具有足够的 IAM 权限Google 帐户

对于您在集成向导期间进行身份验证的 Google 帐户，它们必须具有 IAM 权限才能代表您创建和配置以下资源：

•新 GCP 项目（CWP 管理项目）

•该项目中的服务帐户

•组织或项目中的 IAM 角色绑定

•组织策略修改（如果在组织级集成）

满足此要求的最简单方法是使用在组织级拥有组织管理员角色 (roles/resourcemanager.organizationAdmin) 的帐户。此角色可授予以下能力：在组织下创建项目、管理组织及其项目中的 IAM 策略以及管理组织级策略。

GCP 组织中有足够的项目创建配额

GCP 对组织中可以存在的项目数强制实施限制。CWP 必须在载入期间创建 ESET Cloud Workload Protection 管理项目。如果组织的项目创建配额已用尽，此步骤将失败，并且集成无法完成。开始集成前，请验证您的组织是否至少有一个可用的项目槽。

选择组织级保护时，这些附加要求适用。

了解组织策略修改

在载入期间，CWP 会修改 GCP 组织中的两项组织策略：

•iam.allowedPolicyMemberDomains - ESET 的 Google Workspace 客户 ID 将添加到允许成为 IAM 策略成员的域列表中。

•iam.managed.allowedPolicyMembers - ESET 的组织主体集将添加到允许成为扩展 IAM 成员的主体列表中。

这些更改是叠加的，CWP 不会删除或覆盖现有策略条目。如果约束已设置为全部允许 (*)，或者这些约束在组织中不存在，则此步骤无操作。

在 CWP 中部署 VM 保护涉及两个级别的要求：

•首先，GCP 项目必须满足一组项目级先决条件，然后才能部署 VM 保护，可以在载入期间自动部署，也可以在载入后手动部署。

•其次，每个单独的计算引擎实例都必须满足 VM 级要求，然后才能向其安装保护产品。其他 CWP 功能适用于不满足这些先决条件的项目。

项目先决条件

这些要求适用于 GCP 项目级别。当满足所有条件时，CWP 会在载入期间自动配置这些要求。对于在载入时不符合要求的项目，或者稍后通过组织级集成添加的项目，将跳过配置，并且必须手动完成配置，然后才能为该项目启用 VM 保护。

•已启用计费

GCP 需要先对项目启用计费，然后才能启用 OS Config API。如果项目在载入期间未启用计费，CWP 则无法为 VM 保护部署配置必要的先决条件。

要为集成过程中不存在的项目或未启用计费的项目部署 GCP VM 实例保护，则必须手动配置以下内容：

1. 启用所需的 API：

o操作系统配置 API (osconfig.googleapis.com)

o确保项目已启用计费

2.配置项目元数据：

o将 enable-osconfig 设置为 TRUE

o将 enable-guest-attributes 设置为 TRUE

o将 enable-oslogin 设置为 TRUE

3.在 VM Manager 中启用完整功能：

o在 GCP 控制台中，导航到 VM Manager > 项目设置，并将补丁和配置功能设置为“完整”(OSCONFIG_C)

•必须在目标项目上启用API计算引擎

CWP 会自动在项目中启用 osconfig.googleapis.com API。但是，启用 OS Config 还需要已在目标项目中启用计算引擎 API (compute.googleapis.com)（当您首次在项目中使用计算引擎时，它会自动启用）。从未使用过计算引擎且未启用计费的项目将自动跳过 VM Manager 设置。

•必须在目标项目上启用 OS Config API

当满足所有先决条件时，CWP 将在载入期间自动启用 OS Config API (osconfig.googleapis.com)。对于不满足这些先决条件的项目，将跳过载入期间的配置。

•必须设置 VM Manager

在载入期间为所有项目配置 VM Manager。如果未满足所需的先决条件，则会跳过该项目的配置。有关手动设置的详细信息，请参阅 VM Manager 文档。

•目标项目区域中有足够的操作系统策略分配配额

CWP 使用 GCP 操作系统配置操作系统策略分配来部署 VM 保护。GCP 对每个区域每个项目的操作系统策略分配数强制实施配额。

如果指定区域中的此配额已用尽，CWP 则无法在那里创建新的操作系统策略分配，并且在删除现有分配前，无法将 VM 保护部署到该区域中的实例。系统针对每个区域单独评估此配额。一个区域的配额用尽不会影响其他区域。

VM 级要求

这些要求适用于每个单独的计算引擎实例。为项目启用 VM 保护后，仅当满足以下所有条件时，才能将保护产品部署到 VM。这些条件可以随时验证和满足，包括在集成和项目级先决条件已就绪后。

•计算引擎实例必须具有网络访问权限

针对保护部署的每个计算引擎实例都必须具有 Internet 访问权限，以允许安装 ESET 保护产品。

•Google Cloud VM Manager 必须与您的 VM 映像兼容

CWP 会在您的项目上启用 GCP VM Manager (OS Config)。VM Manager 通过 OS Config 服务器代理与 VM 通信，该服务器代理预安装在所有标准 GCP 提供的 OS 映像（Debian、Windows Server、Ubuntu、CentOS、RHEL、Rocky Linux 和其他映像）上。如果 VM 运行不包含 OS Config 服务器代理的自定义映像，CWP 将无法访问该 VM 以进行保护部署。

检查 VM 上是否已安装 OS config 服务器代理：GCP 文档

•VM 必须运行受支持的操作系统

CWP 只能在运行受支持的操作系统发行版的 VM 上部署 ESET 保护产品。请参阅以下受支持的操作系统发行版。

•VM 必须满足保护产品的系统要求

针对保护部署的每个 VM 都必须满足 ESET 保护产品的最低硬件和软件要求。

Windows Server

o处理器:Intel 或 AMD 单核 x64

o内存:256 MB 可用 RAM

o硬盘驱动器：700 MB 可用硬盘空间

Linux

o处理器:2 核 (vCPU) Intel/AMD x64

o内存:2 GB RAM

o硬盘驱动器：700 MB 可用硬盘空间

oGlibc 2.28 或更高版本

oLinux 内核版本 4.18 或更高版本

o任何 UTF-8 编码区域设置

o必须禁用安全启动

o必须安装 curl 或 wget

o其他包依赖于 Live 安装程序，该安装程序需要安装其依赖项/库才能运行：

oglibc

olibgcc

oopenssl (libssl)

ocurl (libcurl)

otar