使用 Cloud Monitoring 监控资源
Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。
准备工作
如果您还没有这样做 设置已启用 Certificate Authority Service API 的 Google Cloud 项目。 如需了解详情,请参阅准备环境。
在 Cloud Monitoring 中查看指标
控制台
如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:
-
在 Google Cloud 控制台中,转到 leaderboard Metrics Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 在指标元素中,展开选择指标菜单,在过滤栏中输入
Certificate Authority
,然后使用子菜单选择一个特定资源类型和指标:- 在活跃资源菜单中,选择证书颁发机构。
- 如需选择指标,请使用活跃指标类别和活跃指标菜单。 如需查看指标列表,请参阅 privateca metrics。
- 点击应用。
如需从显示结果中移除时序,请使用过滤条件元素。
如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区。
当聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。
- 对于配额和每天报告一个样本的其他指标,请执行以下操作:
- 在显示窗格中,将微件类型设置为堆叠条形图。
- 将时间段设置为至少一周。
CA Service 指标
您可以在 Cloud Monitoring 中查看指标列表 文档。
您可以在受监控的资源中查看受监控的资源文档。
启用建议的提醒
请按照以下说明启用建议的提醒。
控制台
创建提醒政策
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策。
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
创建 Pub/Sub 通知渠道
可以设置将事件发布到 Pub/Sub 的通知渠道 按照这些说明操作
示例提醒政策
您可以将以下示例提醒政策用于常见的 CA Service 监控用例。
如需详细了解提醒政策,请参阅文档。
CA 将在 30 天后过期
此提醒政策会在代管式 CA 过期前 30 天通知您。这个 政策可为所有项目中的所有托管式 CA 创建提醒通知 其指标对您在 Google Cloud 控制台项目选择器。如需了解指标可见性 请参阅了解指标范围。
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Certificate Authority
。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 对于资源类型,请选择证书授权机构。
- 对于 Metric category,选择 Ca。
- 对于指标,选择 ca/cert_expiration。
- 选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。
请使用下表中的设置完成此页面。
配置提醒触发器页面
字段
值Condition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
gcloud
将以下政策粘贴到名为 ca-expiration-policy.yaml
的文件中:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
创建提醒政策后,请按照管理通知渠道中的说明操作 创建或更新现有通知渠道(如果需要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。
证书创建失败率较高
此提醒政策会在出现证书创建比率时通知您
次失败(由于 CA 政策或验证失败),超过阈值
共 0.2
页。这个
政策可为所有项目中的所有托管式 CA 创建提醒通知
其指标对您在
Google Cloud 控制台项目选择器。如需了解指标可见性
请参阅了解指标范围。
gcloud
将以下政策粘贴到名为 cert-create-failure.yaml
的文件中:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
创建提醒政策后,请按照管理通知渠道中的说明操作 创建或更新现有通知渠道(如果需要)。要将 现有提醒政策的通知渠道,请按照 更新政策中的通知渠道。
此政策的作用
此政策计算失败请求与总请求的比率。政策 会在该比率超过 20%(即 大于 0.2)。
条件中的过滤条件用于选择证书创建失败的次数 也就是比率中的分子。分子按项目汇总, 位置和 CA 资源 ID,因为此指标具有额外的标签。条件中的分母过滤条件用于选择证书创建请求的数量。
达到阈值后,此政策会触发提醒通知 因为条件允许的时长为 0 秒。这个 政策使用的触发器计数为 1,这指的是需要 违反条件以触发提醒通知。
监控电流表指标
采样平均值指标用于衡量特定时刻的值。例如:
privateca.googleapis.com/ca/resource_state
或
privateca.googleapis.com/kms/key_issue
是刻度盘指标。这些指标使用
布尔值,同时使用标签提供更多信息。对于
例如,privateca.googleapis.com/ca/resource_state
将一个布尔值
表示是否启用了 CA 状态,state
实际资源状态
在监控使用布尔值的刻度盘指标时,我们建议
使用 COUNT
聚合器构建提醒阈值。SUM
Aggregator 仅对布尔值求和,而 COUNT
Aggregator 会对
时序数。例如,如果您想确定处于 DISABLED
状态的 CA 的数量,则应为 state=DISABLED
创建过滤条件。使用 COUNT
聚合器确定 CA 数量
符合条件的订单项
Cloud Monitoring 费用
监控 CA Service 无需任何费用。