Memantau resource menggunakan Cloud Monitoring
Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Certificate Authority Service.
Sebelum memulai
Jika Anda belum melakukannya, siapkan project Google Cloud yang telah mengaktifkan Certificate Authority Service API. Untuk mengetahui informasinya, lihat Menyiapkan lingkungan.
Melihat metrik di Cloud Monitoring
Konsol
Untuk menampilkan metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan hal berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih leaderboard Metrics Explorer:
- Pada elemen Metrik, luaskan menu Pilih metrik, masukkan
Certificate Authority
di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:- Di menu Active resources, pilih Certificate Authority.
- Untuk memilih metrik, gunakan menu Kategori metrik aktif dan Metrik aktif. Untuk mengetahui daftar metrik, lihat metrik privateca.
- Klik Apply.
Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.
Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.
Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.
- Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
- Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
- Tetapkan jangka waktu setidaknya satu minggu.
Metrik CA Service
Daftar metrik dapat dilihat di dokumentasi Cloud Monitoring.
Dokumentasi resource yang dimonitor dapat dilihat di Resource yang dipantau.
Mengaktifkan Notifikasi yang Direkomendasikan
Gunakan petunjuk berikut untuk mengaktifkan notifikasi yang direkomendasikan.
Konsol
Buka halaman CA Service Overview di Google Cloud Console.
Di kanan atas halaman Ringkasan, klik + 5 Notifikasi yang Direkomendasikan.
Mengaktifkan atau menonaktifkan setiap notifikasi, dengan membaca deskripsinya.
- Beberapa notifikasi mendukung nilai minimum khusus. Misalnya, Anda dapat menentukan kapan Anda ingin diberi tahu tentang sertifikat CA yang masa berlakunya akan habis, atau tingkat error untuk tingkat kegagalan pembuatan sertifikat yang tinggi.
- Semua pemberitahuan mendukung saluran notifikasi.
Klik Kirim setelah Anda mengaktifkan semua notifikasi yang dipilih.
Membuat kebijakan pemberitahuan
Konsol
Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih notifications Alerting:
- ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
- Dari halaman Alerting, pilih Create policy.
- Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
- Untuk membatasi menu pada entri yang relevan, masukkan
Certificate Authority
ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif. - Untuk Resource type, pilih Certificate Authority.
- Untuk Kategori metrik, pilih Ca.
- Untuk Metrik, pilih metrik dari daftar metrik privateca.
- Pilih Apply.
- Untuk membatasi menu pada entri yang relevan, masukkan
- Klik Next.
- Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Pilih jenis kondisi dan, jika perlu, tentukan batasnya. Untuk informasi selengkapnya, lihat Membuat kebijakan pemberitahuan batas metrik.
- Klik Next.
- Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
- Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
- Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
- Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
- Klik Create Policy.
Membuat saluran notifikasi Pub/Sub
Saluran notifikasi yang memublikasikan peristiwa ke Pub/Sub dapat disiapkan dengan mengikuti petunjuk ini.
Contoh kebijakan pemberitahuan
Anda dapat menggunakan contoh kebijakan pemberitahuan berikut untuk kasus penggunaan pemantauan Layanan CA yang umum.
Untuk mempelajari lebih lanjut kebijakan pemberitahuan, lihat dokumentasi.
CA berakhir dalam 30 hari
Kebijakan pemberitahuan ini akan memberi tahu Anda 30 hari sebelum masa berlaku CA terkelola berakhir. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project Google Cloud Console. Untuk informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.
Konsol
Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih notifications Alerting:
- ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
- Dari halaman Alerting, pilih Create policy.
- Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
- Untuk membatasi menu pada entri yang relevan, masukkan
Certificate Authority
ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif. - Untuk Resource type, pilih Certificate Authority.
- Untuk Kategori metrik, pilih Ca.
- Untuk Metrik, pilih ca/cert_expiration.
- Pilih Apply.
- Untuk membatasi menu pada entri yang relevan, masukkan
- Klik Next.
- Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu.
Lengkapi halaman ini dengan setelan dalam tabel berikut.
Halaman Konfigurasi pemicu pemberitahuan
Kolom
NilaiCondition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- Klik Next.
- Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
- Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
- Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
- Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
- Klik Create Policy.
gcloud
Tempelkan kebijakan berikut ke dalam file bernama ca-expiration-policy.yaml
:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
Buat kebijakan pemberitahuan dengan perintah berikut:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
Setelah membuat kebijakan pemberitahuan, ikuti bagian Mengelola saluran notifikasi untuk membuat atau mengupdate saluran notifikasi yang ada, jika perlu. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi di kebijakan.
Tingkat kegagalan pembuatan sertifikat yang tinggi
Kebijakan pemberitahuan ini memberi tahu Anda saat rasio kegagalan pembuatan sertifikat, karena kegagalan validasi kebijakan atau kebijakan CA, melebihi nilai minimum 0.2
. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project Google Cloud Console. Untuk informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.
gcloud
Tempelkan kebijakan berikut ke dalam file bernama cert-create-failure.yaml
:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
Buat kebijakan pemberitahuan dengan perintah berikut:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
Setelah membuat kebijakan pemberitahuan, ikuti bagian Mengelola saluran notifikasi untuk membuat atau mengupdate saluran notifikasi yang ada, jika perlu. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi di kebijakan.
Fungsi kebijakan ini
Kebijakan ini menghitung rasio kegagalan terhadap total permintaan. Kebijakan ini akan memicu notifikasi peringatan jika rasionya melebihi 20% (yaitu, rasionya lebih besar dari 0,2) selama periode penyelarasan 5 menit.
Filter dalam kondisi memilih jumlah kegagalan pembuatan sertifikat, yang merupakan pembilang dalam rasio. Pembilang menggabungkan berdasarkan project, lokasi, dan ID resource CA, karena metrik ini memiliki label tambahan. Filter denominator dalam kondisi akan memilih jumlah permintaan pembuatan sertifikat.
Setelah batas ini tercapai, kebijakan akan segera memicu notifikasi pemberitahuan, karena durasi yang diizinkan untuk kondisi tersebut adalah 0 detik. Kebijakan ini menggunakan jumlah pemicu 1, yaitu jumlah deret waktu yang perlu melanggar kondisi agar dapat memicu notifikasi pemberitahuan.
Metrik pengukur pemantauan
Metrik meteran mengukur nilai pada waktu tertentu. Misalnya,
privateca.googleapis.com/ca/resource_state
atau
privateca.googleapis.com/kms/key_issue
adalah metrik meteran. Metrik ini menggunakan nilai boolean, sekaligus menggunakan label untuk memberikan informasi tambahan. Misalnya, privateca.googleapis.com/ca/resource_state
akan menggunakan boolean untuk
apakah status CA diaktifkan, tetapi menggunakan label, state
, untuk
status resource sebenarnya.
Saat memantau metrik pengukur yang menggunakan nilai boolean, sebaiknya gunakan agregator COUNT
untuk membuat nilai minimum pemberitahuan. Agregator SUM
hanya menjumlahkan nilai boolean, sedangkan agregator COUNT
menjumlahkan jumlah deret waktu. Misalnya, jika Anda ingin menentukan jumlah CA
yang berada di status DISABLED
, Anda harus membuat filter untuk
state=DISABLED
. Gunakan agregator COUNT
untuk menentukan jumlah CA
yang cocok dengan kondisi ini.
Biaya Cloud Monitoring
Pemantauan CA Service tidak dikenai biaya.