Menggunakan metrik Pengontrol Kebijakan
Halaman ini menjelaskan cara menggunakan metrik untuk memantau Pengontrol Kebijakan.
Pengontrol Kebijakan mencakup beberapa metrik yang terkait dengan penggunaan kebijakan. Misalnya, ada metrik yang mencatat jumlah template batasan dan batasan, serta jumlah pelanggaran audit yang terdeteksi. Untuk membuat dan mencatat metrik ini, Pengontrol Kebijakan menggunakan OpenTelemetry. Anda dapat mengonfigurasi Pengontrol Kebijakan untuk mengekspor metrik ini ke Prometheus atau Cloud Monitoring. Setelan default untuk mengekspor metrik akan mengekspor metrik ke Prometheus dan Cloud Monitoring.
Konfigurasi ekspor metrik
Anda dapat mengonfigurasi cara Pengontrol Kebijakan mengekspor metriknya. Anda dapat memilih Prometheus, Cloud Monitoring, keduanya, atau tidak keduanya saat menginstal Pengontrol Kebijakan. Secara default, Pengontrol Kebijakan mencoba mengekspor metrik ke Prometheus dan Cloud Monitoring.
Mengekspor metrik ke Cloud Monitoring
Jika Pengontrol Kebijakan berjalan di dalam lingkungan Google Cloud yang memiliki akun layanan default, Pengontrol Kebijakan akan otomatis mengekspor metrik ke Cloud Monitoring.
Jika GKE Workload Identity atau Workload Identity Fleet diaktifkan, izinkan Pengontrol Kebijakan untuk mengirim metrik dengan menjalankan perintah berikut:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:PROJECT_ID.svc.id.goog[gatekeeper-system/gatekeeper-admin]" \
--role=roles/monitoring.metricWriter
Ganti PROJECT_ID dengan project ID Google Cloud cluster.
Untuk mengetahui contoh cara melihat metrik ini, baca Membaca metrik OpenCensus di Cloud Monitoring.
Mengekspor metrik ke Prometheus
Pengontrol Kebijakan mengekspor metrik untuk Prometheus pada port 8888 Pod gatekeeper-controller-manager-* pada namespace gatekeeper-system.
Jika Pengontrol Kebijakan berjalan di cluster dengan Google Cloud Managed Service for Prometheus yang telah dikonfigurasi, metrik ini akan otomatis dikumpulkan dan disimpan di Cloud Monitoring. Ini juga berfungsi untuk cluster yang mengaktifkan Google Cloud Managed Service for Prometheus setelah Pengontrol Kebijakan diinstal. Anda mungkin juga perlu memberikan izin tambahan ke akun layanan Compute Engine default yang digunakan Google Cloud Managed Service for Prometheus, bergantung pada kebijakan Anda. Untuk mengetahui detail tentang cara memberikan izin ke Google Cloud Managed Service for Prometheus, lihat Mengaktifkan Koleksi Terkelola: GKE. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi Google Cloud Managed Service for Prometheus, lihat Mulai menggunakan koleksi terkelola.
Karena Pengontrol Kebijakan tersedia di GKE Enterprise, tidak ada biaya tambahan untuk Kemampuan Observasi Google Cloud, termasuk Google Cloud Managed Service for Prometheus. Jika Anda telah menginstal Pengontrol Kebijakan sebelum mewajibkan lisensi GKE Enterprise, dan telah mengaktifkan Google Cloud Managed Service for Prometheus, Anda mungkin akan melihat tagihan untuk metrik yang dikumpulkan. Untuk mengetahui informasi selengkapnya tentang harga Cloud Monitoring, lihat Harga Google Cloud Managed Service for Prometheus.
Untuk mengetahui contoh cara melihat metrik dengan solusi Google Cloud Managed Service for Prometheus, lihat Kueri menggunakan Cloud Monitoring.
Lihat metrik
Metrik Pengontrol Kebijakan diekspor ke project Cloud Monitoring Anda dalam format Prometheus. Akibatnya, Anda dapat membuat kueri metrik dengan menggunakan Cloud Monitoring API dan dasbor di Konsol Google Cloud. Anda dapat mengedit dasbor ini untuk memenuhi kebutuhan bisnis dan operasional Anda.
Untuk membuat kueri Cloud Monitoring API, gunakan Prometheus Query Language (PromQL) (bahasa kueri de-facto untuk metrik Kubernetes) atau Monitoring Query Language (MQL) (bahasa kueri metrik eksklusif Google).
Untuk membuat dasbor Pengontrol Kebijakan:
Di Konsol Google Cloud, buka halaman Dashboards.
Di halaman Dashboards overview, klik tab Sample library. Tab ini menampilkan semua dasbor yang dapat Anda impor.
Di kolom Kategori, pilih Anthos Config Management.
Di tabel Contoh Anthos Config Management, centang kotak Pengontrol Kebijakan.
Klik download Impor.
Untuk membuat dasbor, klik Konfirmasi di jendela konfirmasi.
Untuk melihat dan mengedit dasbor Pengontrol Kebijakan:
- Di halaman Ringkasan dasbor, pilih tab Daftar dasbor.
- Pilih dasbor Pengontrol Kebijakan.
- Untuk menyesuaikan dasbor, klik Edit dasbor.
- Lakukan perubahan yang diperlukan, lalu klik Simpan. Untuk mempelajari lebih lanjut cara menyesuaikan dasbor, baca artikel Memfilter dasbor dalam dokumentasi Cloud Monitoring.
Membuat pemberitahuan
Untuk menerima notifikasi saat metrik Anda memenuhi batas tertentu, buat kebijakan pemberitahuan di Cloud Monitoring.
Integrasi pihak ketiga
Dengan Cloud Monitoring API, alat kemampuan observasi pihak ketiga apa pun dapat menyerap metrik Pengontrol Kebijakan.
Misalnya, jika Anda menggunakan dasbor Grafana, tambahkan Cloud Monitoring API sebagai sumber data di Grafana. Untuk mempelajari lebih lanjut, lihat Google Cloud Monitoring dalam dokumentasi Grafana.
Metrik yang tersedia
Jika Pengontrol Kebijakan diaktifkan di cluster Anda dan dikonfigurasi untuk mengekspor ke Cloud Monitoring, Anda dapat membuat kueri metrik berikut (semuanya diawali dengan OpenCensus/):
| Nama | Jenis | Label | Deskripsi |
|---|---|---|---|
OpenCensus/audit_duration_seconds |
Kumulatif | Distribusi durasi siklus audit | |
OpenCensus/audit_last_run_time |
Meteran | Stempel waktu epoch sejak runtime audit terakhir, diberikan sebagai detik pada floating point | |
OpenCensus/constraint_template_ingestion_count |
Kumulatif | status | Jumlah total tindakan penyerapan template batasan |
OpenCensus/constraint_template_ingestion_duration_seconds |
Kumulatif | status | Distribusi durasi penyerapan Template Constraint |
OpenCensus/constraint_templates |
Meteran | status | Jumlah template batasan saat ini |
OpenCensus/validation_request_count |
Penghitung | admission_status | Jumlah permintaan masuk dari server API |
OpenCensus/validation_request_duration_seconds |
Kumulatif | admission_status | Distribusi durasi permintaan masuk |
OpenCensus/violations |
Meteran | enforcement_action | Jumlah pelanggaran audit yang terdeteksi dalam siklus audit terakhir |
OpenCensus/watch_manager_intended_watch_gvk |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang dimaksudkan untuk ditonton. Metrik ini adalah kombinasi dari resource dan batasan yang disinkronkan. | |
OpenCensus/watch_manager_watched_gvk |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang benar-benar ditonton. Metrik ini dimaksudkan untuk digabungkan agar sama dengan OpenCensus/watch_manager_intended_watch_gvk. |
Jika Pengontrol Kebijakan dikonfigurasi untuk mengekspor ke Prometheus, Anda dapat membuat kueri metrik berikut (semuanya diawali dengan Prometheus/):
| Nama | Jenis | Label | Deskripsi |
|---|---|---|---|
Prometheus/gatekeeper_audit_duration_seconds/histogram |
Kumulatif | Distribusi durasi siklus audit | |
Prometheus/gatekeeper_audit_last_run_end_time/gauge |
Meteran | Stempel waktu epoch pada akhir proses audit terakhir, yang diberikan sebagai detik pada floating point | |
Prometheus/gatekeeper_audit_last_run_time/gauge |
Meteran | Stempel waktu epoch awal audit terakhir dijalankan, yang diberikan sebagai detik dalam floating point | |
Prometheus/gatekeeper_constraint_template_ingestion_count/counter |
Kumulatif | status | Jumlah total tindakan penyerapan template batasan |
Prometheus/gatekeeper_constraint_template_ingestion_duration_seconds/histogram |
Kumulatif | status | Distribusi durasi penyerapan Template Constraint |
Prometheus/gatekeeper_constraint_templates/gauge |
Meteran | status | Jumlah template batasan saat ini |
Prometheus/gatekeeper_validation_request_count/counter |
Kumulatif | admission_status, admission_dryrun | Jumlah permintaan masuk dari server API |
Prometheus/gatekeeper_validation_request_duration_seconds/histogram |
Kumulatif | admission_status | Distribusi durasi permintaan masuk |
Prometheus/gatekeeper_violations/gauge |
Meteran | enforcement_action | Jumlah pelanggaran audit yang terdeteksi dalam siklus audit terakhir |
Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang dimaksudkan untuk ditonton. Metrik ini adalah kombinasi dari resource dan batasan yang disinkronkan. | |
Prometheus/gatekeeper_watch_manager_watched_gvk/gauge |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang benar-benar ditonton. Metrik ini dimaksudkan untuk digabungkan agar sama dengan Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge. |