使用 Cloud Monitoring 监控资源

Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。

准备工作

如果您尚未设置已启用 Certificate Authority Service API 的 Google Cloud 项目,请执行此操作。如需了解详情,请参阅准备环境

在 Cloud Monitoring 中查看指标

控制台

如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 Metrics Explorer 页面:

    进入 Metrics Explorer

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 指标元素中,展开选择指标菜单,在过滤栏中输入 Certificate Authority,然后使用子菜单选择一个特定资源类型和指标:
    1. 活跃资源菜单中,选择证书授权机构
    2. 如需选择指标,请使用有效指标类别有效指标菜单。 如需查看指标列表,请参阅 privateca 指标
    3. 点击应用

  3. 如需从显示结果中移除时序,请使用过滤条件元素

  4. 如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区

    聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。

  5. 对于配额和每天报告一个样本的其他指标,请执行以下操作:
    1. 显示窗格中,将微件类型设置为堆叠条形图
    2. 将时间段设置为至少一周。

CA Service 指标

如需查看指标列表,请参阅 Cloud Monitoring 文档

您可以在受监控的资源中查看受监控的资源文档。

请按照以下说明启用建议的提醒。

控制台

  1. 转到 Google Cloud 控制台中的“CA 服务概览”页面。

    证书授权机构服务

  2. 在“概览”页面的右上角,点击 + 5 条建议的提醒

  3. 阅读提醒说明,启用或停用各个提醒。

    • 部分提醒支持自定义阈值。例如,您可以指定您希望何时收到过期 CA 证书的提醒,或指定发生证书创建失败率较高的错误率。
    • 所有提醒均支持通知渠道

  4. 启用所有选定的提醒后,点击提交

创建提醒政策

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 对于资源类型,请选择证书授权机构
    3. 对于 Metric category,选择 Ca
    4. 对于 Metric,从 list of privateca metrics 中选择一个指标。
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

创建 Pub/Sub 通知渠道

您可以按照这些说明来设置将事件发布到 Pub/Sub 的通知渠道。

示例提醒政策

您可以将以下示例提醒政策用于常见的 CA Service 监控用例。

如需详细了解提醒政策,请参阅文档

CA 将在 30 天后过期

此提醒政策会在代管式 CA 过期前 30 天通知您。此政策会为指标对 Google Cloud 控制台项目选择器中选择的 Google Cloud 项目可见的所有项目中的所有托管式 CA 创建提醒通知。如需了解指标可见性,请参阅了解指标范围

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 对于资源类型,请选择证书授权机构
    3. 对于 Metric category,选择 Ca
    4. 对于指标,选择 ca/cert_expiration
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 请使用下表中的设置完成此页面。
    配置提醒触发器页面
    字段
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

gcloud

将以下政策粘贴到名为 ca-expiration-policy.yaml 的文件中:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

创建提醒政策后,请根据需要按照管理通知渠道中的说明创建或更新现有的通知渠道。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

证书创建失败率较高

当由于 CA 政策或验证失败而导致的证书创建失败比率超过阈值 0.2 时,此提醒政策会通知您。此政策会为指标对 Google Cloud 控制台项目选择器中选择的 Google Cloud 项目可见的所有项目中的所有托管式 CA 创建提醒通知。如需了解指标可见性,请参阅了解指标范围

gcloud

将以下政策粘贴到名为 cert-create-failure.yaml 的文件中:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

创建提醒政策后,请根据需要按照管理通知渠道中的说明创建或更新现有的通知渠道。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

此政策的作用

此政策用于计算失败次数与请求总数的比率。如果在 5 分钟的校准时间段内,该比率超过 20%(即比率大于 0.2),则政策会触发提醒通知。

条件中的过滤条件选择证书创建失败次数,该次数是比率中的分子。分子按项目、位置和 CA 资源 ID 进行汇总,因为此指标具有额外的标签。条件中的分母过滤条件选择证书创建请求数。

达到阈值后,政策会立即触发提醒通知,因为条件的允许时长为 0 秒。此政策使用的触发器计数为 1,即需要违反条件才能触发提醒通知的时序数量。

Monitoring 刻度盘指标

采样平均值指标用于衡量特定时刻的值。例如,privateca.googleapis.com/ca/resource_stateprivateca.googleapis.com/kms/key_issue 是刻度盘指标。这些指标使用布尔值,同时使用标签提供更多信息。例如,privateca.googleapis.com/ca/resource_state 使用布尔值指示是否启用 CA 状态,但使用标签 state 来表示实际资源状态。

在监控使用布尔值的刻度盘指标时,我们建议您使用 COUNT 聚合器来构建提醒阈值。SUM 聚合器仅对布尔值求和,而 COUNT 聚合器仅对时序的数量求和。例如,如果要确定处于 DISABLED 状态的 CA 的数量,则应为 state=DISABLED 创建过滤器。使用 COUNT 聚合器确定符合此条件的 CA 数量。

Cloud Monitoring 费用

监控 CA Service 无需任何费用。

后续步骤