Memantau resource menggunakan Cloud Monitoring

Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Certificate Authority Service.

Sebelum memulai

Jika Anda belum melakukannya, siapkan project Google Cloud yang mengaktifkan Certificate Authority Service API. Untuk mengetahui informasinya, lihat Menyiapkan lingkungan Anda.

Melihat metrik di Cloud Monitoring

Konsol

Untuk melihat metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan langkah berikut:

  1. Di konsol Google Cloud, buka halaman  Metrics explorer:

    Buka Metrics explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. Pada elemen Metric, luaskan menu Select a metric, masukkan Certificate Authority di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:
    1. Di menu Active resources, pilih Certificate Authority.
    2. Untuk memilih metrik, gunakan menu Kategori metrik aktif dan Metrik aktif. Untuk mengetahui daftar metrik, lihat metrik privasi.
    3. Klik Terapkan.

  3. Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.

  4. Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.

    Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.

  5. Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
    1. Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
    2. Tetapkan jangka waktu setidaknya satu minggu.

Metrik CA Service

Daftar metrik dapat dilihat di dokumentasi Cloud Monitoring.

Dokumentasi resource yang dimonitor dapat dilihat di Resource yang dimonitor.

Gunakan petunjuk berikut untuk mengaktifkan pemberitahuan yang direkomendasikan.

Konsol

  1. Buka halaman Ringkasan Layanan CA di konsol Google Cloud.

    Certificate Authority Service

  2. Di kanan atas halaman Ringkasan, klik + 5 Pemberitahuan yang Direkomendasikan.

  3. Aktifkan atau nonaktifkan setiap pemberitahuan, dengan membaca deskripsinya.

    • Beberapa pemberitahuan mendukung nilai minimum kustom. Misalnya, Anda dapat menentukan kapan Anda ingin menerima pemberitahuan untuk sertifikat CA yang akan habis masa berlakunya, atau rasio error untuk rasio kegagalan pembuatan sertifikat yang tinggi.
    • Semua pemberitahuan mendukung saluran notifikasi.

  4. Klik Kirim setelah Anda mengaktifkan semua pemberitahuan yang dipilih.

Membuat kebijakan pemberitahuan

Konsol

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

  1. Di konsol Google Cloud, buka halaman  Alerting:

    Buka Pemberitahuan

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
  3. Dari halaman Alerting, pilih Create policy.
  4. Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
    1. Untuk membatasi menu pada entri yang relevan, masukkan Certificate Authority ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
    2. Untuk Jenis resource, pilih Certificate Authority.
    3. Untuk Kategori metrik, pilih Ca.
    4. Untuk Metrik, pilih metrik dari daftar metrik privasi.
    5. Pilih Apply.
  5. Klik Berikutnya.
  6. Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Pilih jenis kondisi dan, jika perlu, tentukan batasnya. Untuk informasi selengkapnya, lihat Membuat kebijakan pemberitahuan batas metrik.
  7. Klik Berikutnya.
  8. Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
  9. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  10. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  11. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  12. Klik Create Policy.
Untuk informasi selengkapnya, lihat Kebijakan pemberitahuan.

Membuat saluran notifikasi Pub/Sub

Saluran notifikasi yang memublikasikan peristiwa ke Pub/Sub dapat disiapkan dengan mengikuti petunjuk ini.

Contoh kebijakan pemberitahuan

Anda dapat menggunakan contoh kebijakan pemberitahuan berikut untuk kasus penggunaan pemantauan Layanan CA umum.

Untuk mempelajari kebijakan pemberitahuan lebih lanjut, lihat dokumentasi.

CA akan berakhir dalam 30 hari

Kebijakan pemberitahuan ini akan memberi tahu Anda 30 hari sebelum masa berlaku CA terkelola berakhir. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project konsol Google Cloud. Untuk mengetahui informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.

Konsol

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

  1. Di konsol Google Cloud, buka halaman  Alerting:

    Buka Pemberitahuan

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

  2. ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
  3. Dari halaman Alerting, pilih Create policy.
  4. Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
    1. Untuk membatasi menu pada entri yang relevan, masukkan Certificate Authority ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
    2. Untuk Jenis resource, pilih Certificate Authority.
    3. Untuk Kategori metrik, pilih Ca.
    4. Untuk Metrik, pilih ca/cert_expiration.
    5. Pilih Apply.
  5. Klik Berikutnya.
  6. Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Isi halaman ini dengan setelan dalam tabel berikut.
    Kolom halaman Configure alert trigger
    Nilai
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Klik Berikutnya.
  8. Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
  9. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  10. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  11. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  12. Klik Create Policy.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan pemberitahuan.

gcloud

Tempelkan kebijakan berikut ke dalam file bernama ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Buat kebijakan pemberitahuan dengan perintah berikut:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Setelah membuat kebijakan pemberitahuan, ikuti Mengelola saluran notifikasi untuk membuat atau memperbarui saluran notifikasi yang ada, jika diperlukan. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi dalam kebijakan.

Tingkat kegagalan pembuatan sertifikat yang tinggi

Kebijakan pemberitahuan ini akan memberi tahu Anda saat rasio kegagalan pembuatan sertifikat, karena kebijakan CA atau kegagalan validasi, melebihi nilai minimum 0.2. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project konsol Google Cloud. Untuk mengetahui informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.

gcloud

Tempelkan kebijakan berikut ke dalam file bernama cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Buat kebijakan pemberitahuan dengan perintah berikut:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Setelah membuat kebijakan pemberitahuan, ikuti Mengelola saluran notifikasi untuk membuat atau memperbarui saluran notifikasi yang ada, jika diperlukan. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi dalam kebijakan.

Fungsi kebijakan ini

Kebijakan ini menghitung rasio kegagalan terhadap total permintaan. Kebijakan ini akan memicu notifikasi pemberitahuan jika rasio melebihi 20% (yaitu, rasio lebih besar dari 0,2) selama periode penyelarasan 5 menit.

Filter dalam kondisi memilih jumlah kegagalan pembuatan sertifikat, yang merupakan pembilang dalam rasio. Pembilang digabungkan menurut project, lokasi, dan ID resource CA, karena metrik ini memiliki label tambahan. Filter penyebut dalam kondisi memilih jumlah permintaan pembuatan sertifikat.

Setelah batas tercapai, kebijakan akan segera memicu notifikasi pemberitahuan, karena durasi yang diizinkan untuk kondisi tersebut adalah 0 detik. Kebijakan ini menggunakan jumlah pemicu 1, yaitu jumlah deret waktu yang perlu melanggar kondisi untuk memicu notifikasi pemberitahuan.

Memantau metrik pengukur

Metrik pengukur mengukur nilai pada waktu tertentu. Misalnya, privateca.googleapis.com/ca/resource_state atau privateca.googleapis.com/kms/key_issue adalah metrik pengukur. Metrik ini menggunakan nilai boolean, sekaligus menggunakan label untuk memberikan informasi tambahan. Misalnya, privateca.googleapis.com/ca/resource_state menggunakan boolean untuk mengetahui apakah status CA diaktifkan, tetapi menggunakan label, state, untuk status resource yang sebenarnya.

Saat memantau metrik pengukur yang menggunakan nilai boolean, sebaiknya Anda menggunakan agregator COUNT untuk membuat nilai minimum pemberitahuan. Agregator SUM hanya menjumlahkan nilai boolean, sedangkan agregator COUNT menjumlahkan jumlah deret waktu. Misalnya, jika ingin menentukan jumlah CA yang berada dalam status DISABLED, Anda harus membuat filter untuk state=DISABLED. Gunakan agregator COUNT untuk menentukan jumlah CA yang cocok dengan kondisi ini.

Biaya Cloud Monitoring

Tidak ada biaya untuk memantau CA Service.

Langkah selanjutnya