Ressourcen mit Cloud Monitoring überwachen
Mit Cloud Monitoring können Sie Vorgänge überwachen, in Certificate Authority Service.
Hinweise
Falls noch nicht geschehen, ein Google Cloud-Projekt einrichten, für das die Certificate Authority Service API aktiviert ist. Weitere Informationen finden Sie unter Umgebung vorbereiten.
Messwerte in Cloud Monitoring ansehen
Console
So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:
-
Rufen Sie in der Google Cloud Console die Seite leaderboard Metrics Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie
Certificate Authority
in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:- Wählen Sie im Menü Aktive Ressourcen die Option Zertifizierungsstelle aus.
- Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine Liste der Messwerte finden Sie unter privateca-Messwerte.
- Klicken Sie auf Anwenden.
Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.
Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.
Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.
- Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
- Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
- Legen Sie als Zeitraum mindestens eine Woche fest.
CA Service-Messwerte
Die Liste der Messwerte kann in Cloud Monitoring aufgerufen werden Dokumentation.
Die Dokumentation zu überwachten Ressourcen finden Sie unter Überwachte Ressourcen.
Empfohlene Benachrichtigungen aktivieren
Folgen Sie der Anleitung unten, um empfohlene Benachrichtigungen zu aktivieren.
Console
Rufen Sie in der Google Cloud Console die Übersichtsseite des Zertifizierungsstellendienstes auf.
Klicken Sie rechts oben auf der Übersichtsseite auf + 5 empfohlene Benachrichtigungen.
Aktivieren oder deaktivieren Sie jede Benachrichtigung und lesen Sie dazu die zugehörige Beschreibung.
- Einige Benachrichtigungen unterstützen benutzerdefinierte Schwellenwerte. Sie können beispielsweise angeben, wenn Sie über ein ablaufendes CA-Zertifikat oder den Fehlerrate für eine hohe Rate von Fehlern bei der Zertifikatserstellung.
- Alle Benachrichtigungen unterstützen Benachrichtigungskanäle.
Klicken Sie auf Senden, nachdem Sie alle ausgewählten Benachrichtigungen aktiviert haben.
Benachrichtigungsrichtlinie erstellen
Console
Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.
-
Rufen Sie in der Google Cloud Console die Seite notifications Benachrichtigungen auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
- Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
- Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
Certificate Authority
ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen. - Wählen Sie als Ressourcentyp die Option Zertifizierungsstelle aus.
- Wählen Sie unter Messwertkategorie die Option Ca aus.
- Wählen Sie als Messwert einen Messwert aus der Liste der privatenca-Messwerte aus.
- Klicken Sie auf Apply (Anwenden).
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
- Klicken Sie auf Weiter.
- Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
- Klicken Sie auf Weiter.
- Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
Pub/Sub-Benachrichtigungskanal erstellen
Es kann ein Benachrichtigungskanal eingerichtet werden, über den Ereignisse in Pub/Sub veröffentlicht werden. indem Sie dieser Anleitung folgen.
Beispiele für Benachrichtigungsrichtlinien
Sie können die folgenden Beispielbenachrichtigungsrichtlinien für allgemeine Anwendungsfälle für das Monitoring von CA Service
Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie in der Dokumentation.
Zertifizierungsstelle läuft in 30 Tagen ab
Mit dieser Benachrichtigungsrichtlinie werden Sie 30 Tage vor Ablauf einer verwalteten Zertifizierungsstelle benachrichtigt. Dieses Richtlinie erstellt Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten deren Messwerte für das Google Cloud-Projekt sichtbar sind, das im Projektauswahl in der Google Cloud Console. Informationen zur Sichtbarkeit von Messwerten Weitere Informationen zum Messwertumfang
Console
Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.
-
Rufen Sie in der Google Cloud Console die Seite notifications Benachrichtigungen auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
- Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
- Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
Certificate Authority
ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen. - Wählen Sie als Ressourcentyp die Option Zertifizierungsstelle aus.
- Wählen Sie unter Messwertkategorie die Option Ca aus.
- Wählen Sie als Messwert die Option ca/cert_expiration aus.
- Klicken Sie auf Apply (Anwenden).
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
- Klicken Sie auf Weiter.
- Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird.
Vervollständigen Sie diese Seite mit den Einstellungen aus der folgenden Tabelle.
Seite Benachrichtigungstrigger konfigurieren
Feld
WertCondition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- Klicken Sie auf Next (Weiter).
- Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
gcloud
Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen ca-expiration-policy.yaml
ein:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung unter Benachrichtigungskanäle verwalten. um bei Bedarf Benachrichtigungskanäle zu erstellen oder zu aktualisieren. So fügen Sie ein einer vorhandenen Benachrichtigungsrichtlinie hinzufügen, Benachrichtigungskanäle in einer Richtlinie aktualisieren
Hohe Rate an Fehlern bei der Zertifikatserstellung
Mit dieser Benachrichtigungsrichtlinie werden Sie benachrichtigt, wenn der Anteil der Zertifikatserstellung
Fehler aufgrund von CA-Richtlinien oder Validierungsfehlern einen Grenzwert überschreiten
von 0.2
. Dieses
Richtlinie erstellt Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten
deren Messwerte für das Google Cloud-Projekt sichtbar sind, das im
Projektauswahl in der Google Cloud Console. Informationen zur Sichtbarkeit von Messwerten
Weitere Informationen zum Messwertumfang
gcloud
Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen cert-create-failure.yaml
ein:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung unter Benachrichtigungskanäle verwalten. um bei Bedarf Benachrichtigungskanäle zu erstellen oder zu aktualisieren. So fügen Sie ein einer vorhandenen Benachrichtigungsrichtlinie hinzufügen, Benachrichtigungskanäle in einer Richtlinie aktualisieren
Was bewirkt diese Richtlinie?
Diese Richtlinie berechnet das Verhältnis der Fehler zur Gesamtzahl der Anfragen. Richtlinie löst eine Benachrichtigung aus, wenn das Verhältnis 20 % überschreitet (d. h. das Verhältnis größer als 0,2) während des 5-minütigen Ausrichtungszeitraums ist.
Über den Filter in der Bedingung wird die Anzahl der Fehler bei der Zertifikatserstellung ausgewählt. Dies ist der Zähler im Verhältnis. Der Zähler aggregiert nach Projekt, Standort und die ID der Zertifizierungsstelle, da dieser Messwert zusätzliche Labels hat. Die Nenner-Filter in der Bedingung wählt die Anzahl der Zertifikate aus Erstellungsanfragen.
Sobald der Grenzwert erreicht ist, löst die Richtlinie die Benachrichtigung aus sofort, da die zulässige Dauer für die Bedingung 0 Sekunden beträgt. Dieses Triggeranzahl 1 verwendet, was der Anzahl der Zeitachsen entspricht, um die Bedingung zu verletzen.
Messwerte des Monitoring-Messgeräts
Mit Messmesswerten wird ein Wert zu einem bestimmten Zeitpunkt gemessen. Beispiel:
privateca.googleapis.com/ca/resource_state
oder
privateca.googleapis.com/kms/key_issue
sind Messwerte der Anzeige. Für diese Messwerte wird ein
booleschen Wert und verwenden Labels, um zusätzliche Informationen bereitzustellen. Für
Beispiel: privateca.googleapis.com/ca/resource_state
verwendet einen booleschen Wert für
ob der Zertifizierungsstellenstatus aktiviert ist, aber das Label state
für die
tatsächlichen Ressourcenstatus.
Bei der Überwachung von Messwerten mit booleschen Werten empfehlen wir,
Sie den COUNT
-Aggregator verwenden, um Benachrichtigungsgrenzwerte zu erstellen. Das SUM
Der Aggregator summiert nur die booleschen Werte, während der COUNT
die Summe der
Anzahl der Zeitreihen. Wenn Sie z. B. die Anzahl der Zertifizierungsstellen ermitteln möchten,
DISABLED
-Status angeben, sollten Sie einen Filter für
state=DISABLED
. Mit dem Aggregator COUNT
die Anzahl der Zertifizierungsstellen ermitteln
die diese Bedingung erfüllen.
Cloud Monitoring-Kosten
Für das Monitoring des CA-Dienstes fallen keine Kosten an.