Monitorar recursos usando o Cloud Monitoring

O Cloud Monitoring pode ser usado para monitorar operações realizadas em recursos no Certificate Authority Service.

Antes de começar

Configure um projeto do Google Cloud com a API Certificate Authority Service ativada, caso ainda não tenha feito isso. Para mais informações, consulte Preparar seu ambiente.

Ver métricas no Cloud Monitoring

Console

Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:

  1. No console do Google Cloud, acesse a página do  Metrics Explorer:

    Acesse o Metrics explorer

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoramento.

  2. No elemento Metric, expanda o menu Selecionar uma métrica, digite Certificate Authority na barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:
    1. No menu Recursos ativos, selecione Autoridade certificadora.
    2. Para selecionar uma métrica, use os menus Categorias de métricas ativas e Métricas ativas. Para uma lista de métricas, consulte Métricas de privateca.
    3. Clique em Aplicar.

  3. Para remover séries temporais da exibição, use o elemento Filtro.

  4. Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.

    Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.

  5. Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
    1. No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
    2. Defina o período como pelo menos uma semana.

Métricas do serviço de CA

A lista de métricas pode ser consultada na documentação do Cloud Monitoring.

A documentação do recurso monitorado pode ser acessada em Recursos monitorados.

Use as instruções a seguir para ativar os alertas recomendados.

Console

  1. Acesse a página "Visão geral do serviço de AC" no console do Google Cloud.

    Certificate Authority Service

  2. No canto superior direito da página "Visão geral", clique em + 5 alertas recomendados.

  3. Ative ou desative cada alerta, lendo a descrição dele.

    • Alguns alertas têm suporte a limites personalizados. Por exemplo, é possível especificar quando você quer receber um alerta sobre um certificado de AC que está prestes a expirar ou a taxa de erro para uma alta taxa de falhas na criação de certificados.
    • Todos os alertas são compatíveis com canais de notificação.

  4. Clique em Enviar depois de ativar todos os alertas selecionados.

Criar uma política de alertas

Console

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

  1. No console do Google Cloud, acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira Certificate Authority na barra de filtro. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Autoridade certificadora.
    3. Em Categoria da métrica, selecione Ca.
    4. Em Métrica, selecione uma opção na lista de métricas de privacidade.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, consulte Criar políticas de alertas de limite de métrica.
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Saiba mais em Políticas de alertas.

Criar um canal de notificação do Pub/Sub

É possível configurar um canal de notificação que publica eventos no Pub/Sub seguindo estas instruções.

Exemplos de políticas de alertas

Você pode usar as políticas de alerta de exemplo a seguir para casos de uso comuns de monitoramento do serviço de CA.

Para saber mais sobre as políticas de alertas, consulte a documentação.

AC com vencimento em 30 dias

Essa política de alerta notifica você 30 dias antes da expiração de uma AC gerenciada. Essa política cria notificações de alerta para todas as ACs gerenciadas em todos os projetos em que as métricas são visíveis para o projeto do Google Cloud selecionado no seletor de projetos do console do Google Cloud. Para informações sobre a visibilidade de métricas, consulte Noções básicas sobre o escopo de métricas.

Console

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

  1. No console do Google Cloud, acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira Certificate Authority na barra de filtro. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Autoridade certificadora.
    3. Em Categoria da métrica, selecione Ca.
    4. Em Métrica, selecione ca/cert_expiration.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Preencha esta página com as configurações na tabela a seguir.
    Campo Configurar gatilho de alerta
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Saiba mais em Políticas de alertas.

gcloud

Cole a política a seguir em um arquivo chamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crie a política de alerta com o seguinte comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Depois de criar a política de alerta, siga as instruções em Como gerenciar canais de notificação para criar ou atualizar canais de notificação existentes, se necessário. Para adicionar um canal de notificação a uma política de alertas, siga as instruções em Como atualizar canais de notificação em uma política.

Alta taxa de falhas na criação de certificados

Essa política de alerta notifica você quando a proporção de falhas na criação de certificados, devido a uma política de AC ou falha de validação, excede um limite de 0.2. Essa política cria notificações de alerta para todas as ACs gerenciadas em todos os projetos em que as métricas são visíveis para o projeto do Google Cloud selecionado no seletor de projetos do console do Google Cloud. Para informações sobre a visibilidade de métricas, consulte Noções básicas sobre o escopo de métricas.

gcloud

Cole a política a seguir em um arquivo chamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crie a política de alerta com o seguinte comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Depois de criar a política de alerta, siga as instruções em Como gerenciar canais de notificação para criar ou atualizar canais de notificação existentes, se necessário. Para adicionar um canal de notificação a uma política de alertas, siga as instruções em Como atualizar canais de notificação em uma política.

O que esta política faz

Essa política calcula a proporção entre falhas e solicitações totais. A política aciona uma notificação de alerta se a proporção exceder 20% (isto é, a proporção for maior que 0,2) durante o período de alinhamento de cinco minutos.

O filtro na condição seleciona o número de falhas na criação de certificados, que é o numerador da proporção. O numerador é agregado por projeto, local e ID do recurso de CA, já que essa métrica tem rótulos adicionais. O filtro de denominador na condição seleciona o número de solicitações de criação de certificado.

Quando o limite é atingido, a política aciona a notificação de alerta imediatamente, já que a duração permitida para a condição é de 0 segundo. Essa política usa uma contagem de acionadores de 1, que é o número de série temporal que precisam violar a condição para acionar a notificação de alerta.

Como monitorar métricas de indicador

As métricas de medidor medem um valor em um instante específico. Por exemplo, privateca.googleapis.com/ca/resource_state ou privateca.googleapis.com/kms/key_issue são métricas de indicador. Essas métricas usam um valor booleano e usam rótulos para fornecer informações adicionais. Por exemplo, privateca.googleapis.com/ca/resource_state usa um booleano para indicar se o estado da AC está ativado, mas usa um rótulo, state, para o estado real do recurso.

Ao monitorar métricas de indicador que usam valores booleanos, recomendamos usar o agregador COUNT para criar limites de alerta. O agregador SUM soma apenas os valores booleanos, enquanto o agregador COUNT soma o número de série temporal. Por exemplo, se você quiser determinar o número de ACs que estão no estado DISABLED, crie um filtro para state=DISABLED. Use o agregador COUNT para determinar o número de ACs que correspondem a essa condição.

Custo do Cloud Monitoring

Não há custo para o monitoramento do serviço de assinatura de código.

A seguir