Ressourcen mit Cloud Monitoring überwachen
Mit Cloud Monitoring können Sie Vorgänge überwachen, die für Ressourcen in Certificate Authority Service ausgeführt werden.
Hinweise
Richten Sie, falls noch nicht geschehen, ein Google Cloud-Projekt ein, für das die Certificate Authority Service API aktiviert ist. Weitere Informationen finden Sie unter Umgebung vorbereiten.
Messwerte in Cloud Monitoring ansehen
Console
So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:
-
Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend leaderboard Metrics Explorer aus:
- Maximieren Sie im Element Messwert das Menü Messwert auswählen, geben Sie
Certificate Authority
in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:- Wählen Sie im Menü Aktive Ressourcen die Option Zertifizierungsstelle aus.
- Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine Liste der Messwerte finden Sie unter privateca-Messwerte.
- Klicken Sie auf Anwenden.
Verwenden Sie das Element Filter, um Zeitreihen aus der Anzeige zu entfernen.
Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Element Aggregation. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.
Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.
- Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
- Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
- Legen Sie als Zeitraum mindestens eine Woche fest.
Messwerte für CA Service
Die Liste der Messwerte finden Sie in der Cloud Monitoring-Dokumentation.
Die Dokumentation zu überwachten Ressourcen finden Sie unter Überwachte Ressourcen.
Empfohlene Benachrichtigungen aktivieren
Folgen Sie dieser Anleitung, um empfohlene Benachrichtigungen zu aktivieren.
Console
Rufen Sie in der Google Cloud Console die Übersichtsseite des CA-Dienstes auf.
Klicken Sie oben rechts auf der Übersichtsseite auf + 5 empfohlene Benachrichtigungen.
Aktivieren oder deaktivieren Sie die einzelnen Benachrichtigungen und lesen Sie die zugehörige Beschreibung.
- Einige Benachrichtigungen unterstützen benutzerdefinierte Schwellenwerte. Sie können beispielsweise angeben, wann Sie benachrichtigt werden möchten, wenn ein CA-Zertifikat abläuft, oder die Fehlerrate bei einer hohen Fehlerrate bei der Zertifikatserstellung angeben.
- Benachrichtigungskanäle werden bei allen Benachrichtigungen unterstützt.
Klicken Sie auf Senden, sobald Sie alle ausgewählten Benachrichtigungen aktiviert haben.
Benachrichtigungsrichtlinie erstellen
Console
Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.
-
Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend notifications Benachrichtigungen aus:
- Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
- Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
- Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
Certificate Authority
ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen. - Wählen Sie für Ressourcentyp die Option Zertifizierungsstelle aus.
- Wählen Sie als Messwertkategorie die Option Ca aus.
- Wählen Sie für den Messwert einen Messwert aus der Liste der privatenca-Messwerte aus.
- Klicken Sie auf Apply (Anwenden).
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
- Klicken Sie auf Next (Weiter).
- Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
- Klicken Sie auf Next (Weiter).
- Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
Pub/Sub-Benachrichtigungskanal erstellen
Ein Benachrichtigungskanal, der Ereignisse in Pub/Sub veröffentlicht, kann mithilfe dieser Anleitung eingerichtet werden.
Beispiel für Benachrichtigungsrichtlinien
Sie können die folgenden Beispielbenachrichtigungsrichtlinien für gängige Anwendungsfälle für das CA Service Monitoring verwenden.
Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie in der Dokumentation.
CA läuft in 30 Tagen ab
Sie werden 30 Tage vor Ablauf einer verwalteten Zertifizierungsstelle benachrichtigt. Mit dieser Richtlinie werden Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten erstellt, deren Messwerte für das Google Cloud-Projekt sichtbar sind, das in der Projektauswahl der Google Cloud Console ausgewählt wurde. Informationen zur Sichtbarkeit von Messwerten finden Sie unter Informationen zum Umfang des Messwerts.
Console
Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.
-
Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und anschließend notifications Benachrichtigungen aus:
- Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
- Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
- Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
Certificate Authority
ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen. - Wählen Sie für Ressourcentyp die Option Zertifizierungsstelle aus.
- Wählen Sie als Messwertkategorie die Option Ca aus.
- Wählen Sie als Messwert die Option ca/cert_expiration aus.
- Klicken Sie auf Apply (Anwenden).
- Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste
- Klicken Sie auf Next (Weiter).
- Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird.
Legen Sie auf dieser Seite die Einstellungen aus der folgenden Tabelle fest.
Seite Trigger für Benachrichtigungen konfigurieren
Feld
WertCondition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- Klicken Sie auf Next (Weiter).
- Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
- Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
- Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
- Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
gcloud
Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen ca-expiration-policy.yaml
ein:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung Benachrichtigungskanäle verwalten, um bei Bedarf vorhandene Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Informationen zum Hinzufügen eines Benachrichtigungskanals zu einer vorhandenen Benachrichtigungsrichtlinie finden Sie unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.
Hohe Anzahl von Fehlern beim Erstellen von Zertifikaten
Diese Benachrichtigungsrichtlinie benachrichtigt Sie, wenn das Verhältnis von Zertifikatserstellungen aufgrund von CA-Richtlinien oder Validierungsfehlern einen Schwellenwert von 0.2
überschreitet. Mit dieser Richtlinie werden Benachrichtigungen für alle verwalteten Zertifizierungsstellen in allen Projekten erstellt, deren Messwerte für das Google Cloud-Projekt sichtbar sind, das in der Projektauswahl der Google Cloud Console ausgewählt wurde. Informationen zur Sichtbarkeit von Messwerten finden Sie unter Informationen zum Umfang des Messwerts.
gcloud
Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen cert-create-failure.yaml
ein:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
Folgen Sie nach dem Erstellen der Benachrichtigungsrichtlinie der Anleitung Benachrichtigungskanäle verwalten, um bei Bedarf vorhandene Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Informationen zum Hinzufügen eines Benachrichtigungskanals zu einer vorhandenen Benachrichtigungsrichtlinie finden Sie unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.
Was bewirkt diese Richtlinie?
Diese Richtlinie berechnet das Verhältnis von Fehlern zur Gesamtzahl der Anfragen. Die Richtlinie löst eine Benachrichtigung aus, wenn das Verhältnis im Ausrichtungszeitraum von 5 Minuten 20 % überschreitet (d. h., das Verhältnis ist größer als 0,2).
Der Filter in der Bedingung wählt die Anzahl der Fehler beim Erstellen von Zertifikaten aus. Dies ist der Zähler im Verhältnis. Der Zähler aggregiert nach Projekt, Standort und CA-Ressourcen-ID, da dieser Messwert zusätzliche Labels hat. Mit dem Nennerfilter der Bedingung wird die Anzahl der Anfragen zum Erstellen von Zertifikaten ausgewählt.
Sobald der Schwellenwert erreicht ist, löst die Richtlinie sofort die Benachrichtigung aus, da die zulässige Dauer für die Bedingung 0 Sekunden beträgt. Diese Richtlinie verwendet eine Triggeranzahl von 1. Das ist die Anzahl der Zeitreihen, die gegen die Bedingung verstoßen müssen, damit die Benachrichtigung ausgelöst wird.
Messwerte für Messgeräte überwachen
Tachometermesswerte erfassen einen Wert zu einem bestimmten Zeitpunkt. Beispielsweise sind privateca.googleapis.com/ca/resource_state
oder privateca.googleapis.com/kms/key_issue
Gauge-Messwerte. Diese Messwerte verwenden einen booleschen Wert und Labels, um zusätzliche Informationen bereitzustellen. privateca.googleapis.com/ca/resource_state
verwendet beispielsweise einen booleschen Wert dafür, ob der CA-Status aktiviert ist, aber das Label state
für den tatsächlichen Ressourcenstatus.
Beim Überwachen von Tachometermesswerten, die boolesche Werte verwenden, empfehlen wir die Verwendung des Aggregators COUNT
, um Benachrichtigungsschwellenwerte zu erstellen. Der Aggregator SUM
summiert nur die booleschen Werte, während der Aggregator COUNT
die Anzahl der Zeitachsen summiert. Wenn Sie beispielsweise die Anzahl der Zertifizierungsstellen mit dem Status DISABLED
ermitteln möchten, sollten Sie einen Filter für state=DISABLED
erstellen. Verwenden Sie den Aggregator COUNT
, um die Anzahl der Zertifizierungsstellen zu ermitteln, die dieser Bedingung entsprechen.
Cloud Monitoring-Kosten
Für das Monitoring von CA Service fallen keine Kosten an.