Monitoraggio delle risorse con Cloud Monitoring

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.

Prima di iniziare

Se non lo hai già fatto, configura un progetto Google Cloud con l'API Certificate Authority Service abilitata. Per informazioni, vedi Preparare l'ambiente.

Visualizza metriche in Cloud Monitoring

Console

Per visualizzare le metriche per una risorsa monitorata utilizzando Metrics Explorer, procedi nel seguente modo:

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Metrics Explorer:

    Vai a Metrics Explorer

  2. Nell'elemento Metrica, espandi il menu Seleziona una metrica, inserisci Certificate Authority nella barra dei filtri, quindi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
    1. Nel menu Risorse attive, seleziona Autorità di certificazione.
    2. Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta la pagina relativa alle metriche privateca.
    3. Fai clic su Applica.

  3. Per rimuovere le serie temporali dalla visualizzazione, utilizza l'elemento Filter.

  4. Per combinare le serie temporali, utilizza i menu dell'elemento Aggregation. Ad esempio, per visualizzare l'utilizzo della CPU per le VM in base alla zona, imposta il primo menu su Media e il secondo su zone.

    Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregation è impostato su Unaggregated. Le impostazioni predefinite per l'elemento Aggregation sono determinate dal tipo di metrica selezionato.

  5. Per la quota e altre metriche che riportano un campione al giorno:
    1. Nel riquadro Visualizza, imposta il Tipo di widget su Grafico a barre in pila.
    2. Imposta il periodo di tempo su almeno una settimana.

Metriche del servizio CA

L'elenco delle metriche è disponibile nella documentazione di Cloud Monitoring.

La documentazione risorsa monitorata può essere visualizzata in Risorse monitorate.

Segui le istruzioni riportate di seguito per attivare gli avvisi consigliati.

Console

  1. Vai alla pagina Panoramica del servizio CA nella console Google Cloud.

    Certificate Authority Service

  2. In alto a destra nella pagina Panoramica, fai clic su + 5 avvisi consigliati.

  3. Attiva o disattiva ogni avviso, leggendo la relativa descrizione.

    • Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere avvisi per un certificato CA in scadenza o la percentuale di errori per un tasso elevato di errori di creazione dei certificati.
    • Tutti gli avvisi supportano i canali di notifica.

  4. Fai clic su Invia dopo aver attivato tutti gli avvisi selezionati.

crea un criterio di avviso

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste metriche violano una condizione.

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Avvisi:

    Vai ad Avvisi

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non viene visualizzato alcun risultato dopo aver filtrato il menu, disattiva l'opzione di attivazione/disattivazione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona una metrica dall'elenco di metriche privateca.
    5. Seleziona Applica.
  5. Tocca Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avviso determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per maggiori informazioni, consulta Creare criteri di avviso per soglia di soglia delle metriche.
  7. Tocca Avanti.
  8. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

Crea canale di notifica Pub/Sub

Un canale di notifica che pubblica eventi su Pub/Sub può essere configurato seguendo queste istruzioni.

Esempi di criteri di avviso

Puoi utilizzare i seguenti criteri di avviso di esempio per i casi d'uso comuni del monitoraggio di CA Service.

Per scoprire di più sui criteri di avviso, consulta la documentazione.

CA in scadenza tra 30 giorni

Questo criterio di avviso ti avvisa 30 giorni prima della scadenza di una CA gestita. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili per il progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste metriche violano una condizione.

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Avvisi:

    Vai ad Avvisi

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non viene visualizzato alcun risultato dopo aver filtrato il menu, disattiva l'opzione di attivazione/disattivazione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona ca/cert_expiration.
    5. Seleziona Applica.
  5. Tocca Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avviso determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni indicate nella tabella seguente.
    Pagina Configura trigger di avviso
    Campo
    Valore
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Tocca Avanti.
  8. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

gcloud

Incolla il criterio seguente in un file denominato ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea il criterio di avviso con il comando seguente:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Dopo aver creato il criterio di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.

Elevato tasso di errori di creazione dei certificati

Questo criterio di avviso ti avvisa quando il rapporto di errori di creazione dei certificati, dovuti a criteri CA o a errori di convalida, supera una soglia di 0.2. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili per il progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

gcloud

Incolla il criterio seguente in un file denominato cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea il criterio di avviso con il comando seguente:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Dopo aver creato il criterio di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.

Cosa fanno queste norme

Questo criterio calcola il rapporto tra errori e richieste totali. Il criterio attiva una notifica di avviso se il rapporto supera il 20% (ovvero, il rapporto è maggiore di 0,2) nel periodo di allineamento di 5 minuti.

Il filtro nella condizione seleziona il numero di errori di creazione del certificato, ovvero il numeratore nel rapporto. Il numeratore viene aggregato per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro del denominatore nella condizione seleziona il numero di richieste di creazione del certificato.

Una volta raggiunta la soglia, il criterio attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è 0 secondi. Questo criterio utilizza un numero di trigger pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.

Monitoraggio delle metriche degli indicatori

Le metriche indicatore misurano un valore in un momento specifico. Ad esempio, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue sono metriche di misurazione. Queste metriche utilizzano un valore booleano e, al contempo, le etichette per fornire informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state utilizza un valore booleano per indicare se lo stato della CA è abilitato, ma utilizza un'etichetta, state, per lo stato effettivo della risorsa.

Quando monitori le metriche degli indicatori che utilizzano valori booleani, ti consigliamo di usare l'aggregatore COUNT per creare soglie di avviso. L'aggregatore SUM somma solo i valori booleani, mentre l'aggregatore COUNT somma il numero delle serie temporali. Ad esempio, se vuoi determinare il numero di CA che si trovano nello stato DISABLED, devi creare un filtro per state=DISABLED. Utilizza l'aggregatore COUNT per determinare il numero di CA che soddisfano questa condizione.

Costo di Cloud Monitoring

Non sono previsti costi per il monitoraggio di CA Service.

Passaggi successivi