Supervisar recursos con Cloud Monitoring

Cloud Monitoring se puede usar para supervisar las operaciones realizadas en los recursos de Certificate Authority Service.

Antes de comenzar

Si aún no lo hiciste, configura un proyecto de Google Cloud que tenga habilitada la API de Certificate Authority Service. Para obtener más información, consulta Prepara tu entorno.

Visualiza métricas en Cloud Monitoring

Console

Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página  Explorador de métricas:

    Ir al Explorador de métricas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa Certificate Authority en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
    1. En el menú Recursos activos, selecciona Autoridad certificadora.
    2. Para elegir una métrica, usa los menús Categorías de métricas activas y Métricas activas. Para obtener una lista de las métricas, consulta métricas de privateca.
    3. Haz clic en Aplicar.

  3. Para quitar series temporales de la pantalla, usa el elemento Filtro.

  4. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

    Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

  5. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
    1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
    2. Establece el período en al menos una semana.

Métricas de CA Service

Puedes ver la lista de métricas en la documentación de Cloud Monitoring.

La documentación de recurso supervisado se puede ver en Recursos supervisados.

Usa las siguientes instrucciones para habilitar las alertas recomendadas.

Console

  1. Ve a la página Resumen del servicio de CA en la consola de Google Cloud.

    Certificate Authority Service

  2. En la parte superior derecha de la página Resumen, haz clic en + 5 alertas recomendadas.

  3. Habilita o inhabilita cada alerta y lee su descripción.

    • Algunas alertas admiten umbrales personalizados. Por ejemplo, puedes especificar cuándo deseas recibir alertas sobre un certificado de la AC que está por vencer o la tasa de error de una tasa alta de fallas en la creación de certificados.
    • Todas las alertas admiten canales de notificación.

  4. Una vez que hayas habilitado todas las alertas seleccionadas, haz clic en Enviar.

Crea una política de alertas

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas:

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. En Tipo de recurso, selecciona Autoridad certificadora.
    3. En la Categoría de Métrica, selecciona Ca.
    4. Para la Métrica, selecciona una métrica de la lista de métricas de privateca.
    5. Selecciona Apply (Apply).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Selecciona un tipo de condición y, si es necesario, especifica un umbral. Para obtener más información, consulta Crea políticas de alertas de límite de métrica.
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

Crear canal de notificaciones de Pub/Sub

Para configurar un canal de notificaciones que publique eventos en Pub/Sub, sigue estas instrucciones.

Ejemplos de políticas de alertas

Puedes usar las siguientes políticas de alertas de muestra para casos de uso comunes de supervisión del servicio de CA.

Para obtener más información sobre las políticas de alertas, consulta la documentación.

CA vencerá en 30 días

Esta política de alertas te notifica 30 días antes de que venza una AC administrada. Esta política crea notificaciones de alerta para todas las AC administradas en todos los proyectos cuyas métricas son visibles para el proyecto de Google Cloud seleccionado en el selector de proyectos de la consola de Google Cloud. Para obtener información sobre la visibilidad de las métricas, consulta Comprende el alcance de las métricas.

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas:

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. En Tipo de recurso, selecciona Autoridad certificadora.
    3. En la Categoría de Métrica, selecciona Ca.
    4. En Métrica, selecciona ca/cert_expiration.
    5. Selecciona Apply (Apply).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Completa esta página con los parámetros de configuración en la siguiente tabla.
    Página Configurar activador de alertas
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

gcloud

Pega la siguiente política en un archivo llamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Después de crear la política de alertas, sigue Administra los canales de notificaciones para crear o actualizar los canales de notificación existentes, si es necesario. Para agregar un canal de notificaciones a una política de alertas existente, consulta Actualiza los canales de notificaciones en una política.

Tasa alta de fallas en la creación de certificados

Esta política de alertas te notifica cuando la proporción de fallas en la creación de certificados, debido a la política de la AC o a una falla de validación, supera un umbral de 0.2. Esta política crea notificaciones de alerta para todas las AC administradas en todos los proyectos cuyas métricas son visibles para el proyecto de Google Cloud seleccionado en el selector de proyectos de la consola de Google Cloud. Para obtener información sobre la visibilidad de las métricas, consulta Comprende el alcance de las métricas.

gcloud

Pega la siguiente política en un archivo llamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Después de crear la política de alertas, sigue Administra los canales de notificaciones para crear o actualizar los canales de notificación existentes, si es necesario. Para agregar un canal de notificaciones a una política de alertas existente, consulta Actualiza los canales de notificaciones en una política.

¿Qué hace esta política?

Esta política calcula la proporción de fallas en relación con el total de solicitudes. La política activa una notificación de alerta si la proporción supera el 20% (es decir, la proporción es superior a 0.2) durante el período de alineación de 5 minutos.

El filtro en la condición selecciona la cantidad de fallas en la creación de certificados, que es el numerador en la proporción. El numerador se agrega por proyecto, ubicación y por ID de recurso de CA, ya que esta métrica tiene etiquetas adicionales. El filtro de denominador en la condición selecciona la cantidad de solicitudes de creación de certificados.

Una vez que se alcanza el umbral, la política activa la notificación de alerta de inmediato, ya que la duración permitida de la condición es de 0 segundos. Esta política usa un recuento de activadores de 1, que es la cantidad de series temporales que deben incumplir la condición para activar la notificación de alerta.

Supervisa las métricas del indicador

Las métricas de indicador miden un valor en un instante específico en el tiempo. Por ejemplo, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue son métricas de indicador. Estas métricas usan un valor booleano y, a la vez, usan etiquetas para proporcionar información adicional. Por ejemplo, privateca.googleapis.com/ca/resource_state usa un valor booleano para indicar si el estado de la AC está habilitado, pero usa una etiqueta, state, para el estado real del recurso.

Cuando supervises las métricas de indicador que usan valores booleanos, te recomendamos que uses el agregador COUNT para crear umbrales de alerta. El agregador SUM solo suma los valores booleanos, mientras que el agregador COUNT suma la cantidad de series temporales. Por ejemplo, si deseas determinar la cantidad de AC que están en el estado DISABLED, debes crear un filtro para state=DISABLED. Usa el agregador COUNT para determinar la cantidad de AC que coinciden con esta condición.

Costo de Cloud Monitoring

La supervisión de CA Service no tiene costo.

¿Qué sigue?