使用 Cloud Monitoring 监控资源
Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。
准备工作
如果您尚未设置已启用 Certificate Authority Service API 的 Google Cloud 项目,请执行此操作。如需了解详情,请参阅准备环境。
在 Cloud Monitoring 中查看指标
控制台
如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:
-
在 Google Cloud 控制台中,转到 leaderboard Metrics Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 在指标元素中,展开选择指标菜单,在过滤栏中输入
Certificate Authority
,然后使用子菜单选择一个特定资源类型和指标:- 在活跃资源菜单中,选择证书授权机构。
- 如需选择指标,请使用有效指标类别和有效指标菜单。 如需查看指标列表,请参阅 privateca 指标。
- 点击应用。
如需从显示结果中移除时序,请使用过滤条件元素。
如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区。
当聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。
- 对于配额和每天报告一个样本的其他指标,请执行以下操作:
- 在显示窗格中,将微件类型设置为堆叠条形图。
- 将时间段设置为至少一周。
CA Service 指标
如需查看指标列表,请参阅 Cloud Monitoring 文档。
您可以在受监控的资源中查看受监控的资源文档。
启用建议的提醒
请按照以下说明启用建议的提醒。
控制台
创建提醒政策
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Certificate Authority
。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 对于资源类型,请选择证书授权机构。
- 对于 Metric category,选择 Ca。
- 对于 Metric,从 list of privateca metrics 中选择一个指标。
- 选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策。
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
创建 Pub/Sub 通知渠道
您可以按照这些说明来设置将事件发布到 Pub/Sub 的通知渠道。
示例提醒政策
您可以将以下示例提醒政策用于常见的 CA Service 监控用例。
如需详细了解提醒政策,请参阅文档。
CA 将在 30 天后过期
此提醒政策会在代管式 CA 过期前 30 天通知您。此政策会为指标对 Google Cloud 控制台项目选择器中选择的 Google Cloud 项目可见的所有项目中的所有托管式 CA 创建提醒通知。如需了解指标可见性,请参阅了解指标范围。
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Certificate Authority
。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 对于资源类型,请选择证书授权机构。
- 对于 Metric category,选择 Ca。
- 对于指标,选择 ca/cert_expiration。
- 选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。
请使用下表中的设置完成此页面。
配置提醒触发器页面
字段
值Condition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
gcloud
将以下政策粘贴到名为 ca-expiration-policy.yaml
的文件中:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
创建提醒政策后,请根据需要按照管理通知渠道中的说明创建或更新现有的通知渠道。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。
证书创建失败率较高
当由于 CA 政策或验证失败而导致的证书创建失败比率超过阈值 0.2
时,此提醒政策会通知您。此政策会为指标对 Google Cloud 控制台项目选择器中选择的 Google Cloud 项目可见的所有项目中的所有托管式 CA 创建提醒通知。如需了解指标可见性,请参阅了解指标范围。
gcloud
将以下政策粘贴到名为 cert-create-failure.yaml
的文件中:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
创建提醒政策后,请根据需要按照管理通知渠道中的说明创建或更新现有的通知渠道。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。
此政策的作用
此政策用于计算失败次数与请求总数的比率。如果在 5 分钟的校准时间段内,该比率超过 20%(即比率大于 0.2),则政策会触发提醒通知。
条件中的过滤条件选择证书创建失败次数,该次数是比率中的分子。分子按项目、位置和 CA 资源 ID 进行汇总,因为此指标具有额外的标签。条件中的分母过滤条件选择证书创建请求数。
达到阈值后,政策会立即触发提醒通知,因为条件的允许时长为 0 秒。此政策使用的触发器计数为 1,即需要违反条件才能触发提醒通知的时序数量。
Monitoring 刻度盘指标
采样平均值指标用于衡量特定时刻的值。例如,privateca.googleapis.com/ca/resource_state
或 privateca.googleapis.com/kms/key_issue
是刻度盘指标。这些指标使用布尔值,同时使用标签提供更多信息。例如,privateca.googleapis.com/ca/resource_state
使用布尔值指示是否启用 CA 状态,但使用标签 state
来表示实际资源状态。
在监控使用布尔值的刻度盘指标时,我们建议您使用 COUNT
聚合器来构建提醒阈值。SUM
聚合器仅对布尔值求和,而 COUNT
聚合器仅对时序的数量求和。例如,如果要确定处于 DISABLED
状态的 CA 的数量,则应为 state=DISABLED
创建过滤器。使用 COUNT
聚合器确定符合此条件的 CA 数量。
Cloud Monitoring 费用
监控 CA Service 无需任何费用。