Memantau resource menggunakan Cloud Monitoring

Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Certificate Authority Service.

Sebelum memulai

Jika Anda belum melakukannya, siapkan project Google Cloud yang telah mengaktifkan Certificate Authority Service API. Untuk mengetahui informasinya, lihat Menyiapkan lingkungan.

Melihat metrik di Cloud Monitoring

Konsol

Untuk menampilkan metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan hal berikut:

  1. Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Metrics Explorer:

    Buka Metrics Explorer

  2. Pada elemen Metrik, luaskan menu Pilih metrik, masukkan Certificate Authority di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:
    1. Di menu Active resources, pilih Certificate Authority.
    2. Untuk memilih metrik, gunakan menu Kategori metrik aktif dan Metrik aktif. Untuk mengetahui daftar metrik, lihat metrik privateca.
    3. Klik Apply.

  3. Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.

  4. Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.

    Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.

  5. Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
    1. Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
    2. Tetapkan jangka waktu setidaknya satu minggu.

Metrik CA Service

Daftar metrik dapat dilihat di dokumentasi Cloud Monitoring.

Dokumentasi resource yang dimonitor dapat dilihat di Resource yang dipantau.

Gunakan petunjuk berikut untuk mengaktifkan notifikasi yang direkomendasikan.

Konsol

  1. Buka halaman CA Service Overview di Google Cloud Console.

    Certificate Authority Service

  2. Di kanan atas halaman Ringkasan, klik + 5 Notifikasi yang Direkomendasikan.

  3. Mengaktifkan atau menonaktifkan setiap notifikasi, dengan membaca deskripsinya.

    • Beberapa notifikasi mendukung nilai minimum khusus. Misalnya, Anda dapat menentukan kapan Anda ingin diberi tahu tentang sertifikat CA yang masa berlakunya akan habis, atau tingkat error untuk tingkat kegagalan pembuatan sertifikat yang tinggi.
    • Semua pemberitahuan mendukung saluran notifikasi.

  4. Klik Kirim setelah Anda mengaktifkan semua notifikasi yang dipilih.

Membuat kebijakan pemberitahuan

Konsol

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

  1. Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Alerting:

    Buka Alerting

  2. ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
  3. Dari halaman Alerting, pilih Create policy.
  4. Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
    1. Untuk membatasi menu pada entri yang relevan, masukkan Certificate Authority ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
    2. Untuk Resource type, pilih Certificate Authority.
    3. Untuk Kategori metrik, pilih Ca.
    4. Untuk Metrik, pilih metrik dari daftar metrik privateca.
    5. Pilih Apply.
  5. Klik Next.
  6. Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Pilih jenis kondisi dan, jika perlu, tentukan batasnya. Untuk informasi selengkapnya, lihat Membuat kebijakan pemberitahuan batas metrik.
  7. Klik Next.
  8. Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
  9. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  10. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  11. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  12. Klik Create Policy.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan pemberitahuan.

Membuat saluran notifikasi Pub/Sub

Saluran notifikasi yang memublikasikan peristiwa ke Pub/Sub dapat disiapkan dengan mengikuti petunjuk ini.

Contoh kebijakan pemberitahuan

Anda dapat menggunakan contoh kebijakan pemberitahuan berikut untuk kasus penggunaan pemantauan Layanan CA yang umum.

Untuk mempelajari lebih lanjut kebijakan pemberitahuan, lihat dokumentasi.

CA berakhir dalam 30 hari

Kebijakan pemberitahuan ini akan memberi tahu Anda 30 hari sebelum masa berlaku CA terkelola berakhir. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project Google Cloud Console. Untuk informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.

Konsol

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

  1. Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Alerting:

    Buka Alerting

  2. ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
  3. Dari halaman Alerting, pilih Create policy.
  4. Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
    1. Untuk membatasi menu pada entri yang relevan, masukkan Certificate Authority ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
    2. Untuk Resource type, pilih Certificate Authority.
    3. Untuk Kategori metrik, pilih Ca.
    4. Untuk Metrik, pilih ca/cert_expiration.
    5. Pilih Apply.
  5. Klik Next.
  6. Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Lengkapi halaman ini dengan setelan dalam tabel berikut.
    Halaman Konfigurasi pemicu pemberitahuan
    Kolom
    Nilai
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Klik Next.
  8. Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
  9. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  10. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  11. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  12. Klik Create Policy.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan pemberitahuan.

gcloud

Tempelkan kebijakan berikut ke dalam file bernama ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Buat kebijakan pemberitahuan dengan perintah berikut:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Setelah membuat kebijakan pemberitahuan, ikuti bagian Mengelola saluran notifikasi untuk membuat atau mengupdate saluran notifikasi yang ada, jika perlu. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi di kebijakan.

Tingkat kegagalan pembuatan sertifikat yang tinggi

Kebijakan pemberitahuan ini memberi tahu Anda saat rasio kegagalan pembuatan sertifikat, karena kegagalan validasi kebijakan atau kebijakan CA, melebihi nilai minimum 0.2. Kebijakan ini membuat notifikasi pemberitahuan untuk semua CA terkelola di semua project yang metriknya terlihat oleh project Google Cloud yang dipilih di pemilih project Google Cloud Console. Untuk informasi tentang visibilitas metrik, lihat Memahami cakupan metrik.

gcloud

Tempelkan kebijakan berikut ke dalam file bernama cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Buat kebijakan pemberitahuan dengan perintah berikut:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Setelah membuat kebijakan pemberitahuan, ikuti bagian Mengelola saluran notifikasi untuk membuat atau mengupdate saluran notifikasi yang ada, jika perlu. Untuk menambahkan saluran notifikasi ke kebijakan pemberitahuan yang ada, ikuti Memperbarui saluran notifikasi di kebijakan.

Fungsi kebijakan ini

Kebijakan ini menghitung rasio kegagalan terhadap total permintaan. Kebijakan ini akan memicu notifikasi peringatan jika rasionya melebihi 20% (yaitu, rasionya lebih besar dari 0,2) selama periode penyelarasan 5 menit.

Filter dalam kondisi memilih jumlah kegagalan pembuatan sertifikat, yang merupakan pembilang dalam rasio. Pembilang menggabungkan berdasarkan project, lokasi, dan ID resource CA, karena metrik ini memiliki label tambahan. Filter denominator dalam kondisi akan memilih jumlah permintaan pembuatan sertifikat.

Setelah batas ini tercapai, kebijakan akan segera memicu notifikasi pemberitahuan, karena durasi yang diizinkan untuk kondisi tersebut adalah 0 detik. Kebijakan ini menggunakan jumlah pemicu 1, yaitu jumlah deret waktu yang perlu melanggar kondisi agar dapat memicu notifikasi pemberitahuan.

Metrik pengukur pemantauan

Metrik meteran mengukur nilai pada waktu tertentu. Misalnya, privateca.googleapis.com/ca/resource_state atau privateca.googleapis.com/kms/key_issue adalah metrik meteran. Metrik ini menggunakan nilai boolean, sekaligus menggunakan label untuk memberikan informasi tambahan. Misalnya, privateca.googleapis.com/ca/resource_state akan menggunakan boolean untuk apakah status CA diaktifkan, tetapi menggunakan label, state, untuk status resource sebenarnya.

Saat memantau metrik pengukur yang menggunakan nilai boolean, sebaiknya gunakan agregator COUNT untuk membuat nilai minimum pemberitahuan. Agregator SUM hanya menjumlahkan nilai boolean, sedangkan agregator COUNT menjumlahkan jumlah deret waktu. Misalnya, jika Anda ingin menentukan jumlah CA yang berada di status DISABLED, Anda harus membuat filter untuk state=DISABLED. Gunakan agregator COUNT untuk menentukan jumlah CA yang cocok dengan kondisi ini.

Biaya Cloud Monitoring

Pemantauan CA Service tidak dikenai biaya.

Langkah selanjutnya