Ressourcen mit Cloud Monitoring überwachen

Mit Cloud Monitoring können Sie Vorgänge überwachen, die für Ressourcen in Certificate Authority Service ausgeführt werden.

Hinweise

Richten Sie, falls noch nicht geschehen, ein Google Cloud-Projekt ein, für das die Certificate Authority Service API aktiviert ist. Weitere Informationen finden Sie unter Umgebung vorbereiten.

Messwerte in Cloud Monitoring ansehen

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Metrics Explorer aus:

    Zum Metrics Explorer

  2. Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie Certificate Authority in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
    1. Wählen Sie im Menü Aktive Ressourcen die Option Zertifizierungsstelle aus.
    2. Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine Liste der Messwerte finden Sie unter privateca-Messwerte.
    3. Klicken Sie auf Anwenden.

  3. Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.

  4. Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.

    Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.

  5. Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
    1. Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
    2. Legen Sie als Zeitraum mindestens eine Woche fest.

Messwerte für CA Service

Die Liste der Messwerte finden Sie in der Cloud Monitoring-Dokumentation.

Die Dokumentation zu überwachten Ressourcen finden Sie unter Überwachte Ressourcen.

Folgen Sie dieser Anleitung, um empfohlene Benachrichtigungen zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Übersichtsseite des CA-Dienstes auf.

    Certificate Authority Service

  2. Klicken Sie oben rechts auf der Übersichtsseite auf + 5 empfohlene Benachrichtigungen.

  3. Aktivieren oder deaktivieren Sie die einzelnen Benachrichtigungen und lesen Sie die zugehörige Beschreibung.

    • Einige Benachrichtigungen unterstützen benutzerdefinierte Schwellenwerte. Sie können beispielsweise angeben, wann Sie benachrichtigt werden möchten, wenn ein CA-Zertifikat abläuft, oder die Fehlerrate bei einer hohen Fehlerrate bei der Zertifikatserstellung angeben.
    • Benachrichtigungskanäle werden bei allen Benachrichtigungen unterstützt.

  4. Klicken Sie auf Senden, sobald Sie alle ausgewählten Benachrichtigungen aktiviert haben.

Benachrichtigungsrichtlinie erstellen

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Benachrichtigungen aus:

    Zu Benachrichtigungen

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Certificate Authority ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen.
    2. Wählen Sie für Ressourcentyp die Option Zertifizierungsstelle aus.
    3. Wählen Sie als Messwertkategorie die Option Ca aus.
    4. Wählen Sie für den Messwert einen Messwert aus der Liste der privatenca-Messwerte aus.
    5. Klicken Sie auf Apply (Anwenden).
  5. Klicken Sie auf Next (Weiter).
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
  7. Klicken Sie auf Next (Weiter).
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien.

Pub/Sub-Benachrichtigungskanal erstellen

Ein Benachrichtigungskanal, der Ereignisse in Pub/Sub veröffentlicht, kann mithilfe dieser Anleitung eingerichtet werden.

Beispiel für Benachrichtigungsrichtlinien

Sie können die folgenden Beispielbenachrichtigungsrichtlinien für gängige Anwendungsfälle für das CA Service Monitoring verwenden.

Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie in der Dokumentation.

CA läuft in 30 Tagen ab

Sie werden 30 Tage vor Ablauf einer verwalteten Zertifizierungsstelle benachrichtigt. Mit dieser Richtlinie werden Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten erstellt, deren Messwerte für das Google Cloud-Projekt sichtbar sind, das in der Projektauswahl der Google Cloud Console ausgewählt wurde. Informationen zur Sichtbarkeit von Messwerten finden Sie unter Informationen zum Umfang des Messwerts.

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend  Benachrichtigungen aus:

    Zu Benachrichtigungen

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Certificate Authority ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen.
    2. Wählen Sie für Ressourcentyp die Option Zertifizierungsstelle aus.
    3. Wählen Sie als Messwertkategorie die Option Ca aus.
    4. Wählen Sie als Messwert die Option ca/cert_expiration aus.
    5. Klicken Sie auf Apply (Anwenden).
  5. Klicken Sie auf Next (Weiter).
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Legen Sie auf dieser Seite die Einstellungen aus der folgenden Tabelle fest.
    Seite Trigger für Benachrichtigungen konfigurieren
    Feld
    Wert
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Klicken Sie auf Next (Weiter).
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien.

gcloud

Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen ca-expiration-policy.yaml ein:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung Benachrichtigungskanäle verwalten, um bei Bedarf vorhandene Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Informationen zum Hinzufügen eines Benachrichtigungskanals zu einer vorhandenen Benachrichtigungsrichtlinie finden Sie unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.

Hohe Anzahl von Fehlern beim Erstellen von Zertifikaten

Diese Benachrichtigungsrichtlinie benachrichtigt Sie, wenn das Verhältnis von Zertifikatserstellungen aufgrund von CA-Richtlinien oder Validierungsfehlern einen Schwellenwert von 0.2 überschreitet. Mit dieser Richtlinie werden Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten erstellt, deren Messwerte für das Google Cloud-Projekt sichtbar sind, das in der Projektauswahl der Google Cloud Console ausgewählt wurde. Informationen zur Sichtbarkeit von Messwerten finden Sie unter Informationen zum Umfang des Messwerts.

gcloud

Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen cert-create-failure.yaml ein:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung Benachrichtigungskanäle verwalten, um bei Bedarf vorhandene Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Informationen zum Hinzufügen eines Benachrichtigungskanals zu einer vorhandenen Benachrichtigungsrichtlinie finden Sie unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.

Was bewirkt diese Richtlinie?

Diese Richtlinie berechnet das Verhältnis von Fehlern zur Gesamtzahl der Anfragen. Die Richtlinie löst eine Benachrichtigung aus, wenn das Verhältnis im Ausrichtungszeitraum von 5 Minuten 20 % überschreitet (d. h., das Verhältnis ist größer als 0,2).

Der Filter in der Bedingung wählt die Anzahl der Fehler beim Erstellen von Zertifikaten aus. Dies ist der Zähler im Verhältnis. Der Zähler aggregiert nach Projekt, Standort und CA-Ressourcen-ID, da dieser Messwert zusätzliche Labels hat. Mit dem Nennerfilter der Bedingung wird die Anzahl der Anfragen zum Erstellen von Zertifikaten ausgewählt.

Sobald der Schwellenwert erreicht ist, löst die Richtlinie sofort die Benachrichtigung aus, da die zulässige Dauer für die Bedingung 0 Sekunden beträgt. Diese Richtlinie verwendet eine Triggeranzahl von 1. Das ist die Anzahl der Zeitreihen, die gegen die Bedingung verstoßen müssen, damit die Benachrichtigung ausgelöst wird.

Messwerte für Messgeräte überwachen

Tachometermesswerte erfassen einen Wert zu einem bestimmten Zeitpunkt. Beispielsweise sind privateca.googleapis.com/ca/resource_state oder privateca.googleapis.com/kms/key_issue Gauge-Messwerte. Diese Messwerte verwenden einen booleschen Wert und Labels, um zusätzliche Informationen bereitzustellen. privateca.googleapis.com/ca/resource_state verwendet beispielsweise einen booleschen Wert dafür, ob der CA-Status aktiviert ist, aber das Label state für den tatsächlichen Ressourcenstatus.

Beim Überwachen von Tachometermesswerten, die boolesche Werte verwenden, empfehlen wir die Verwendung des Aggregators COUNT, um Benachrichtigungsschwellenwerte zu erstellen. Der Aggregator SUM summiert nur die booleschen Werte, während der Aggregator COUNT die Anzahl der Zeitachsen summiert. Wenn Sie beispielsweise die Anzahl der Zertifizierungsstellen mit dem Status DISABLED ermitteln möchten, sollten Sie einen Filter für state=DISABLED erstellen. Verwenden Sie den Aggregator COUNT, um die Anzahl der Zertifizierungsstellen zu ermitteln, die dieser Bedingung entsprechen.

Cloud Monitoring-Kosten

Für das Monitoring von CA Service fallen keine Kosten an.

Nächste Schritte