Monitoraggio delle risorse utilizzando Cloud Monitoring

Cloud Monitoring consente di monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.

Prima di iniziare

Se non l'hai ancora fatto, configura un progetto Google Cloud con l'API Certificate Authority Service abilitata. Per informazioni, vedi Preparare l'ambiente.

Visualizza le metriche in Cloud Monitoring

Console

Per visualizzare le metriche per una risorsa monitorata utilizzando Metrics Explorer, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina  Esplora metriche:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nell'elemento Metrica, espandi il menu Seleziona una metrica, inserisci Certificate Authority nella barra dei filtri e utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
    1. Nel menu Risorse attive, seleziona Autorità di certificazione.
    2. Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta metriche privateca.
    3. Fai clic su Applica.

  3. Per rimuovere le serie temporali dalla visualizzazione, utilizza l'elemento Filter.

  4. Per combinare le serie temporali, utilizza i menu dell'elemento Aggregation. Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Mean e il secondo su zone.

    Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregation è impostato su Non aggregato. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica selezionato.

  5. Per la quota e altre metriche che registrano un campione al giorno:
    1. Nel riquadro Visualizzazione, imposta Tipo di widget su Grafico a barre in pila.
    2. Imposta il periodo di tempo su almeno una settimana.

Metriche di CA Service

L'elenco delle metriche può essere visualizzato nella documentazione di Cloud Monitoring.

La documentazione risorsa monitorata può essere visualizzata in Risorse monitorate.

Segui le istruzioni riportate di seguito per attivare gli avvisi consigliati.

Console

  1. Vai alla pagina Panoramica del servizio CA nella console Google Cloud.

    Certificate Authority Service

  2. In alto a destra nella pagina Panoramica, fai clic su + 5 avvisi consigliati.

  3. Abilita o disabilita ogni avviso, leggendo la relativa descrizione.

    • Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere avvisi relativi a un certificato CA in scadenza o la percentuale di errori in caso di elevata percentuale di errori di creazione dei certificati.
    • Tutti gli avvisi supportano i canali di notifica.

  4. Fai clic su Invia dopo aver abilitato tutti gli avvisi selezionati.

crea un criterio di avviso

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono mostrati risultati dopo aver filtrato il menu, disattiva il pulsante di attivazione/disattivazione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria di metrica, seleziona Ca.
    4. Per Metrica, seleziona una metrica dall'elenco di metriche privateca.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger avviso determinano quando l'avviso viene attivato. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per maggiori informazioni, consulta Creare criteri di avviso con soglia della metrica.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione, quindi aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per saperne di più, consulta Criteri di avviso.

Crea canale di notifica Pub/Sub

Puoi configurare un canale di notifica che pubblica eventi in Pub/Sub seguendo queste istruzioni.

Esempi di criteri di avviso

Puoi usare i seguenti criteri di avviso di esempio per i casi d'uso di monitoraggio di CA Service comuni.

Per scoprire di più sui criteri di avviso, consulta la documentazione.

CA in scadenza tra 30 giorni

Questo criterio di avviso ti invia una notifica 30 giorni prima della scadenza di una CA gestita. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore dei progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono mostrati risultati dopo aver filtrato il menu, disattiva il pulsante di attivazione/disattivazione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria di metrica, seleziona Ca.
    4. Per Metrica, seleziona ca/cert_expiration.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger avviso determinano quando l'avviso viene attivato. Completa questa pagina con le impostazioni riportate nella seguente tabella.
    Configura trigger di avviso pagina
    Campo
    Valore
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione, quindi aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per saperne di più, consulta Criteri di avviso.

gcloud

Incolla il criterio seguente in un file denominato ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea il criterio di avviso con il comando seguente:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Dopo aver creato il criterio di avviso, consulta Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.

Percentuale elevata di errori di creazione dei certificati

Questo criterio di avviso ti informa quando il rapporto di errori di creazione dei certificati, dovuti a un criterio della CA o a un errore di convalida, supera una soglia di 0.2. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore dei progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

gcloud

Incolla il criterio seguente in un file denominato cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea il criterio di avviso con il comando seguente:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Dopo aver creato il criterio di avviso, consulta Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.

Cosa comporta queste norme

Questo criterio calcola il rapporto tra errori e richieste totali. Il criterio attiva una notifica di avviso se il rapporto supera il 20% (ovvero è maggiore di 0, 2) durante il periodo di allineamento di 5 minuti.

Il filtro nella condizione seleziona il numero di errori di creazione del certificato, ovvero il numeratore del rapporto. Il numeratore viene aggregato per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro denominatore nella condizione seleziona il numero di richieste di creazione di certificati.

Una volta raggiunta la soglia, il criterio attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è di 0 secondi. Questo criterio utilizza un conteggio dei trigger pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.

Metriche dell'indicatore di monitoraggio

Le metriche di indicatore misurano un valore in un determinato momento nel tempo. Ad esempio, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue sono metriche di misurazione. Queste metriche usano un valore booleano e usano le etichette per fornire informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state utilizza un valore booleano per indicare se lo stato della CA è abilitato, ma utilizza un'etichetta state per lo stato effettivo della risorsa.

Durante il monitoraggio delle metriche di misurazione che utilizzano valori booleani, ti consigliamo di utilizzare l'aggregatore COUNT per creare soglie di avviso. L'aggregatore SUM somma solo i valori booleani, mentre l'aggregatore COUNT somma il numero delle serie temporali. Ad esempio, se vuoi determinare il numero di CA in stato DISABLED, devi creare un filtro per state=DISABLED. Utilizza l'aggregatore COUNT per determinare il numero di CA che soddisfano questa condizione.

Costo di Cloud Monitoring

Il monitoraggio del servizio CA non prevede alcun costo.

Passaggi successivi