Google Cloud Platform

無論您選擇哪個防護範圍，這些需求都適用。

擁有足夠 IAM 權限的 Google 帳戶

您在整合精靈期間用於驗證的 Google 帳戶必須擁有足夠的 IAM 權限才能代表您建立和配置下 列資源：

•一個新的 GCP 專案 (CWP 管理專案)

•該專案中的一個服務帳戶

•在您組織或專案上的 IAM 角色繫結

•組織原則修改 (若在組織層級整合)

滿足此需求的最簡單方式是使用在組織層級擁有組織管理員角色 (roles/resourcemanager.organizationAdmin) 的帳戶。此角色授予在組織下建立專案、管理組織及其專案的 IAM 原則，以及管理組織層級原則的能力。

您的 GCP 組織具有足夠的專案建立配額

GCP 對您組織內可存在的專案數量有所限制。CWP 必須在上線期間建立 ESET Cloud Workload Protection 管理專案。如果您組織的專案建立配額已用盡，則此步驟將會失敗，而整合會無法完成。在開始整合之前，請確認您的組織至少有一個可用的專案額度。

在您選取組織層級防護時，需要符點下列額外需求。

了解組織原則修改

在上線期間，CWP 會修改您的 GCP 組織中的兩個組織原則：

•iam.allowedPolicyMemberDomains—ESET 的 Google Workspace 客戶 ID 已新增至允許成為 IAM 原則成員的網域清單中。

•iam.managed.allowedPolicyMembers—ESET 的組織主體集已新增至允許擴展為 IAM 成員的主體清單中。

這些變更是附加的—CWP 不會移除或覆寫現有的原則項目。如果限制條件已設定為允許所有 (*)，或您組織中不存在這些限制條件，則此步驟為無效操作。

在 CWP 部署虛擬機器防護涉及兩個層級的需求：

•首先，GCP 專案必須符合一系列專案層級的先決條件，才能部署虛擬機器防護，無論是在上線期間自動部署或是之後手動部署。

•其次，每個運算引擎執行個體必須符合虛擬機器層級的需求，才能安裝防護產品。其他 CWP 功能則適用於不符合這些先決條件的專案。

專案先決條件

這些需求適用於 GCP 專案層級。當所有條件都滿足時，CWP 會在上線期間中自動配置這些需求。對於在上線未節合需求的專案，或作為組織層級整合的一部分稍後新增的專案，將會略過配置，且必須手動完成配置，然後才能為該專案啟用虛擬機器防護。

•計費已啟用

GCP 需要先在專案上將計費處於作用中狀態，才能啟用 OS Config API。如果專案在上線期間未啟用計費，則 CWP 無法設定虛擬機器防護部署所需的必要先決條件。

若要為整合程序中不存在或未啟用計費的專案部署對 GCP VM 執行個體的防護，必須手動配置下列內容：

1. 啟用必要的 API：

o作業系統配置 API (osconfig.googleapis.com)

o確保計費已在專案上啟用

2.配置專案中繼資料：

o將 enable-osconfig 設為 TRUE

o將 enable-guest-attributes 設為 TRUE

o將 enable-oslogin 設為 TRUE

3.在虛擬機器管理員中啟用完整功能：

o在 GCP 主控台中，瀏覽至 [虛擬機器管理員] > [專案設定]，並將修補程式和配置功能集設為「完整」(OSCONFIG_C)

•運算引擎 API 必須在目標專案上啟用

CWP 會在您的專案中自動啟用 osconfig.googleapis.com API但是，啟用 OS Config 也需要運算引擎 API (compute.googleapis.com) 在目標專案中處於作用中狀態 (首次在專案中使用運算引擎時會自動啟用)。從未使用過運算引擎且未啟用計費的專案將會自動略過虛擬機器管理員設定。

•OS Config API 必須在目標專案上啟用

當所有先決條件都符合時，CWP 會在上線期間自動啟用 OS Config API (osconfig.googleapis.com)。對於不符合這些先決條件的專案，系統會略過上線期間的配置。

•必須設定虛擬機器管理員

在專案上線期間，虛擬機器管理員會為所有專案進行配置。如果未符合所需的先決條件，則會略過該專案的配置。有關手動設定的詳細資料，請參閱虛擬機管理員文件。

•目標專案區域內有足夠的作業系統原則指派配額

CWP 使用 GCP 作業系統配置作業系統原則指派來部署虛擬機器防護。GCP 會針對每個專案在各個區域中的作作業系統原則指派數量設定配額。

如果指定區域的配額用盡，則 CWP 無法在該區域建立新的作業系統原則指派，且在刪除現有的指派之前，無法將虛擬機器防護部署到該區域中的執行個體。此配額會針對每個區域個別地評估。一個區域的配額已滿不會影響其他區域。

虛擬機器層級需求

這些需求適用於每個個別運算引擎執行個體。當專案啟用虛擬機器防護時，防護產品僅能在符合下列所有條件的虛擬機器中部署。這些事項可以隨時進行驗證和解決，即使在整合和專案層級先決條件已經到位之後也可以進行驗證和解決。

•運算引擎執行個體必須具有網際網路存取權

每個用於部署防護的運算引擎執行個體都必須具有網際網路存取權，才允許安裝 ESET 防護產品。

•Google Cloud 虛擬機器管理員必須與您的虛擬機器映像相容

CWP 在您的專案中啟用 GCP 虛擬機器管理員 (OS Config)。虛擬機器管理員透過 OS Config 代理程式與 虛擬機器通訊，該代理程式預先安裝在所有標準 GCP 提供的作業系統映像 (Debian、Ubuntu、CentOS、RHEL、Rocky Linux、Windows Server 和其他) 上。虛擬機器執行的是未包含 OS Config 代理程式的自訂映像檔，則 CWP 將無法與其連線並部署防護。

檢查 OS config 代理程式是否安裝在虛擬機器上：GCP 文件

•虛擬機器必須執行支援的作業系統

CWP 只能在執行支援作業系統發行版本的虛擬機器上部署 ESET 防護產品。請參閱下方支援的作業系統發行版本。

•虛擬機器必須符合防護產品系統的需求

每個用於防護部署的虛擬機器都必須滿足 ESET 防護產品的硬體和軟體最低需求。

Windows Server

o處理器:Intel 或 AMD 單核心 x64

o記憶體:256 MB 的可用記憶體

o硬碟：700 MB 的可用磁碟空間

Linux

o處理器:Intel/AMD x64 雙核心 (vCPU)

o記憶體:2 GB 的記憶體

o硬碟：700 MB 的可用磁碟空間

oGlibc 2.28 或更新版本

oLinux 核心版本 4.18 或更新版本

o任何 UTF-8 編碼地區設定

o必須停用安全開機

ocurl 或 wget 必須安裝

o其他套件依賴 Live Installer，而 Live Installer 必須安裝其相依性/程式庫才能執行：

oglibc

olibgcc

oopenssl (libssl)

ocurl (libcurl)

otar