Supervisar recursos con Cloud Monitoring

Puedes usar Cloud Monitoring para supervisar las operaciones que se realizan en los recursos de Certificate Authority Service.

Antes de comenzar

Si aún no lo hiciste, configura un proyecto de Google Cloud que tenga la API de Certificate Authority Service habilitada. Para obtener información, consulta Prepara el entorno.

Visualiza métricas en Cloud Monitoring

Consola

Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de métricas:

    Ir al Explorador de métricas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa Certificate Authority en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
    1. En el menú Recursos activos, selecciona Autoridad certificadora.
    2. Para seleccionar una métrica, usa los menús Categorías de métricas activas y Métricas activas. Para obtener una lista de métricas, consulta métricas de privateca.
    3. Haz clic en Aplicar.

  3. Para quitar series temporales de la pantalla, usa el elemento Filtro.

  4. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

    Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

  5. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
    1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
    2. Establece el período en al menos una semana.

Métricas del Servicio de CA

Puedes ver la lista de métricas en la documentación de Cloud Monitoring.

La documentación de los recursos supervisados se puede ver en Recursos supervisados.

Usa las siguientes instrucciones para habilitar las alertas recomendadas.

Console

  1. Ve a la página Resumen del servicio de CA en la consola de Google Cloud.

    Certificate Authority Service

  2. En la esquina superior derecha de la página Descripción general, haz clic en + 5 alertas recomendadas.

  3. Habilita o inhabilita cada alerta y lee su descripción.

    • Algunas alertas admiten umbrales personalizados. Por ejemplo, puedes especificar cuando quieres recibir una alerta sobre un certificado de la AC que está por vencer y tiene una tasa alta de fallas en la creación de certificados.
    • Todas las alertas admiten canales de notificaciones.

  4. Una vez que hayas habilitado todas las alertas seleccionadas, haz clic en Enviar.

Crea una política de alertas

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas.

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. En Tipo de recurso, selecciona Autoridad certificadora.
    3. En Categoría de métrica, selecciona Ca.
    4. En Métrica, selecciona una métrica de la lista de métricas de privateca.
    5. Selecciona Apply (Apply).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Selecciona un tipo de condición y, si es necesario, especifica un umbral. Para obtener más información, consulta Crea políticas de alertas de límite de métrica.
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

Crea un canal de notificaciones de Pub/Sub

Para configurar un canal de notificaciones que publique eventos en Pub/Sub, sigue estas instrucciones.

Ejemplos de políticas de alertas

Puedes usar las siguientes políticas de alertas de muestra para casos de uso comunes de supervisión del servicio de AC.

Para obtener más información sobre las políticas de alertas, consulta la documentación.

CA vencerá en 30 días

Esta política de alertas te notifica 30 días antes de que venza una AC administrada. Esta política crea notificaciones de alerta para todas las AC administradas en todos los proyectos cuyas métricas son visibles para el proyecto de Google Cloud seleccionado en el selector de proyectos de la consola de Google Cloud. Para obtener información sobre la visibilidad de las métricas, consulta Información sobre el permiso de métricas.

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas.

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. En Tipo de recurso, selecciona Autoridad certificadora.
    3. Para la Categoría de Métrica, selecciona Ca.
    4. En Métrica, selecciona ca/cert_expiration.
    5. Selecciona Apply (Apply).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Completa esta página con los parámetros de configuración en la siguiente tabla.
    Página Configurar activador de alertas
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

gcloud

Pega la siguiente política en un archivo llamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Después de crear la política de alertas, sigue los pasos que se indican en Administra los canales de notificaciones. para crear o actualizar los canales de notificación existentes, si es necesario. Para agregar un canal de notificaciones a una política de alertas existente, sigue las instrucciones de Actualiza los canales de notificación en una política.

Tasa alta de fallas en la creación de certificados

Esta política de alertas te notifica cuando la proporción de fallas en la creación de certificados, debido a la política de la AC o a una falla de validación, supera un umbral de 0.2. Esta crea notificaciones de alerta para todas las AC administradas en todos los proyectos cuyas métricas sean visibles para el proyecto de Google Cloud seleccionado en Selector de proyectos de la consola de Google Cloud. Para obtener información sobre la visibilidad de las métricas, consulta Comprende el alcance de las métricas.

gcloud

Pega la siguiente política en un archivo llamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Después de crear la política de alertas, sigue las instrucciones de Cómo administrar canales de notificaciones para crear o actualizar canales de notificaciones existentes, si es necesario. Para agregar un canal de notificaciones a una política de alertas existente, sigue las instrucciones de Actualiza los canales de notificación en una política.

¿Qué hace esta política?

Esta política calcula la proporción de fallas en relación con el total de solicitudes. La política activa una notificación de alerta si la proporción supera el 20% (es decir, si la proporción es superior a 0.2) durante el período de alineación de 5 minutos.

El filtro en la condición selecciona la cantidad de fallas en la creación de certificados que es el numerador en la proporción. El numerador agrega por proyecto, ID de recurso de AC y ubicación, ya que esta métrica tiene etiquetas adicionales. El el filtro de denominador en la condición selecciona el número de certificados solicitudes de creación.

Una vez que se alcanza el umbral, la política activa la notificación de alerta. de inmediato, ya que la duración permitida para la condición es de 0 segundos. Esta política usa un recuento de activación de 1, que es la cantidad de series temporales que deben infringir la condición para que se active la notificación de alerta.

Supervisa las métricas del medidor

Las métricas de indicador miden un valor en un instante específico en el tiempo. Por ejemplo: privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue son métricas de indicador. Estas métricas usan un valor booleano y etiquetas para proporcionar información adicional. Por ejemplo, privateca.googleapis.com/ca/resource_state usa un valor booleano para indicar si el estado de la AC está habilitado, pero usa una etiqueta, state, para el estado real del recurso.

Cuando supervises métricas del indicador que usan valores booleanos, recomendamos que usas el agregador COUNT para crear umbrales de alerta. El SUM el agregador solo suma los valores booleanos, mientras que el agregador COUNT suma el la cantidad de series temporales. Por ejemplo, si deseas determinar la cantidad de AC que están en el estado DISABLED, debes crear un filtro para state=DISABLED. Usa el agregador COUNT para determinar la cantidad de AC que coinciden con esta condición.

Costo de Cloud Monitoring

La supervisión de CA Service no tiene costo.

¿Qué sigue?