Surveiller les ressources à l'aide de Cloud Monitoring

Cloud Monitoring permet de surveiller les opérations effectuées sur ressources dans Certificate Authority Service.

Avant de commencer

Si vous ne l'avez pas déjà fait, configurer un projet Google Cloud dans lequel l'API Certificate Authority Service est activée. Pour en savoir plus, consultez Préparer votre environnement.

Afficher les métriques dans Cloud Monitoring

Console

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Explorateur de métriques :

    Accéder à l'explorateur de métriques

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Dans l'élément Métrique, développez le menu Sélectionner une métrique, saisissez Certificate Authority dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et des métriques spécifiques :
    1. Dans le menu Ressources actives, sélectionnez Autorité de certification.
    2. Pour sélectionner une métrique, utilisez les menus Catégories de métriques actives et Métriques actives. Pour obtenir la liste des métriques, consultez métriques privateca.
    3. Cliquez sur Appliquer.

  3. Pour supprimer des séries temporelles de l'affichage, utilisez l'élément Filtre.

  4. Pour combiner des séries temporelles, utilisez les menus de l'élément Agrégation. Par exemple, pour afficher l'utilisation du processeur pour vos VM en fonction de leur zone, définissez le premier menu sur Moyenne et le second sur zone.

    Toutes les séries temporelles sont affichées lorsque le premier menu de l'élément Agrégation est défini sur Non agrégé. Les paramètres par défaut de l'élément Aggregation (Agrégation) sont déterminés par le type de métrique que vous avez sélectionné.

  5. Pour le quota et les autres métriques qui indiquent un échantillon par jour, procédez comme suit :
    1. Dans le volet Affichage, définissez le type de widget sur Graphique à barres empilées.
    2. Définissez la période sur au moins une semaine.

Métriques du service CA

Vous pouvez consulter la liste des métriques dans Cloud Monitoring documentation.

La documentation sur les ressources surveillées est disponible dans Ressources surveillées.

Suivez les instructions ci-dessous pour activer les alertes recommandées.

Console

  1. Accédez à la page de présentation du service CA dans la console Google Cloud.

    Certificate Authority Service

  2. En haut à droite de la page "Vue d'ensemble", cliquez sur + 5 alertes recommandées.

  3. Activez ou désactivez chaque alerte, en consultant sa description.

    • Certaines alertes sont compatibles avec les seuils personnalisés. Par exemple, vous pouvez spécifier si vous souhaitez être averti d'un certificat CA arrivant à expiration, ou un taux d'erreur élevé pour un taux élevé d'échecs de création de certificat.
    • Toutes les alertes sont compatibles avec les canaux de notification.

  4. Cliquez sur Envoyer une fois que vous avez activé toutes les alertes sélectionnées.

Créer une règle d'alerte

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Surveillance.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour le champ Type de ressource, sélectionnez Autorité de certification.
    3. Pour le champ Catégorie de métrique, sélectionnez Ca.
    4. Pour le champ Métrique, sélectionnez une métrique dans la liste des métriques privateca.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour plus d'informations, consultez la page Règles d'alerte.

Créer un canal de notification Pub/Sub

Configurer un canal de notification qui publie des événements dans Pub/Sub en suivant ces instructions.

Exemples de règles d'alerte

Vous pouvez utiliser les exemples de règles d'alerte suivants Cas d'utilisation de la surveillance du service CA.

Pour en savoir plus sur les règles d'alerte, consultez la documentation.

Expiration de l'autorité de certification dans 30 jours

Cette règle d'alerte vous informe 30 jours avant l'expiration d'une autorité de certification gérée. Ce La règle crée des notifications d'alerte pour toutes les autorités de certification gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le Sélecteur de projet de la console Google Cloud. Pour en savoir plus sur la visibilité des métriques, consultez la page Comprendre le champ d'application des métriques.

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Surveillance.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour le champ Type de ressource, sélectionnez Autorité de certification.
    3. Pour le champ Catégorie de métrique, sélectionnez Ca.
    4. Pour le champ Métrique, sélectionnez ca/cert_expiration.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Complétez cette page avec les paramètres indiqués dans le tableau suivant.
    Champ de la page
    Configurer le déclencheur d'alerte
    Valeur
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour en savoir plus, consultez la section Règles d'alerte.

gcloud

Collez la règle suivante dans un fichier nommé ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Créez la règle d'alerte à l'aide de la commande suivante:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Après avoir créé la règle d'alerte, suivez Gérer les canaux de notification. pour créer ou mettre à jour des canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, suivez Mettre à jour les canaux de notification d'une règle

Taux élevé d'échecs de création de certificats

Cette règle d'alerte vous informe lorsque le ratio de création du certificat d'échecs dus à la règle d'autorité de certification ou à l'échec de la validation, dépassent un certain seuil sur 0.2. Ce La règle crée des notifications d'alerte pour toutes les autorités de certification gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le Sélecteur de projet de la console Google Cloud. Pour en savoir plus sur la visibilité des métriques, consultez la page Comprendre le champ d'application des métriques.

gcloud

Collez la règle suivante dans un fichier nommé cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Créez la règle d'alerte à l'aide de la commande suivante:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Après avoir créé la règle d'alerte, suivez Gérer les canaux de notification. pour créer ou mettre à jour des canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, suivez Mettre à jour les canaux de notification d'une règle

En quoi consiste cette règle ?

Cette règle calcule le ratio entre les échecs et le nombre total de requêtes. Le règlement déclenche une notification d'alerte si le ratio dépasse 20% (c'est-à-dire le ratio est supérieure à 0,2) sur la période d'alignement de 5 minutes.

Le filtre de la condition sélectionne le nombre d’échecs de création de certificat, qui est le numérateur du ratio. Le numérateur agrège par projet, l'emplacement et l'ID de ressource de l'autorité de certification, car cette métrique comporte des étiquettes supplémentaires. La le filtre de dénominateur de la condition sélectionne le nombre de certificats les demandes de création.

Une fois le seuil atteint, la règle déclenche la notification d'alerte immédiatement, car la durée autorisée pour la condition est de 0 seconde. Ce utilise un nombre de déclencheurs égal à 1, ce qui correspond au nombre de séries temporelles de ne pas respecter la condition pour déclencher la notification d'alerte.

Métriques de jauge de surveillance

Les métriques de jauge mesurent une valeur à un moment précis. Par exemple : privateca.googleapis.com/ca/resource_state ou Les privateca.googleapis.com/kms/key_issue sont des métriques de jauge. Ces métriques utilisent un booléen, tout en utilisant des étiquettes pour fournir des informations supplémentaires. Pour Par exemple, privateca.googleapis.com/ca/resource_state utilise une valeur booléenne pour si l'état de l'autorité de certification est activé, mais qu'il utilise une étiquette, state, pour l'état réel des ressources.

Lorsque vous surveillez des métriques de jauge qui utilisent des valeurs booléennes, nous vous recommandons que vous utilisez l'agrégateur COUNT pour créer des seuils d'alerte. SUM l'agrégateur n'additionne que les valeurs booléennes, tandis que l'agrégateur COUNT additionne les le nombre de séries temporelles. Par exemple, si vous souhaitez déterminer le nombre d'autorités de certification dont l'état est DISABLED, vous devez créer un filtre pour state=DISABLED Déterminez le nombre d'autorités de certification à l'aide de l'agrégateur COUNT. qui remplissent cette condition.

Coût de Cloud Monitoring

La surveillance de CA Service est gratuite.

Étape suivante