Monitoraggio delle risorse con Cloud Monitoring
Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.
Prima di iniziare
Se non lo hai già fatto, configura un progetto Google Cloud con l'API Certificate Authority Service abilitata. Per informazioni, vedi Preparare l'ambiente.
Visualizza metriche in Cloud Monitoring
Console
Per visualizzare le metriche per una risorsa monitorata utilizzando Metrics Explorer, procedi nel seguente modo:
-
Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi leaderboard Metrics Explorer:
- Nell'elemento Metrica, espandi il menu Seleziona una metrica, inserisci
Certificate Authority
nella barra dei filtri, quindi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:- Nel menu Risorse attive, seleziona Autorità di certificazione.
- Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta la pagina relativa alle metriche privateca.
- Fai clic su Applica.
Per rimuovere le serie temporali dalla visualizzazione, utilizza l'elemento Filter.
Per combinare le serie temporali, utilizza i menu dell'elemento Aggregation. Ad esempio, per visualizzare l'utilizzo della CPU per le VM in base alla zona, imposta il primo menu su Media e il secondo su zone.
Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregation è impostato su Unaggregated. Le impostazioni predefinite per l'elemento Aggregation sono determinate dal tipo di metrica selezionato.
- Per la quota e altre metriche che riportano un campione al giorno:
- Nel riquadro Visualizza, imposta il Tipo di widget su Grafico a barre in pila.
- Imposta il periodo di tempo su almeno una settimana.
Metriche del servizio CA
L'elenco delle metriche è disponibile nella documentazione di Cloud Monitoring.
La documentazione risorsa monitorata può essere visualizzata in Risorse monitorate.
Attivazione degli avvisi consigliati
Segui le istruzioni riportate di seguito per attivare gli avvisi consigliati.
Console
Vai alla pagina Panoramica del servizio CA nella console Google Cloud.
In alto a destra nella pagina Panoramica, fai clic su + 5 avvisi consigliati.
Attiva o disattiva ogni avviso, leggendo la relativa descrizione.
- Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere avvisi per un certificato CA in scadenza o la percentuale di errori per un tasso elevato di errori di creazione dei certificati.
- Tutti gli avvisi supportano i canali di notifica.
Fai clic su Invia dopo aver attivato tutti gli avvisi selezionati.
crea un criterio di avviso
Console
Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste metriche violano una condizione.
-
Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi notifications Avvisi:
- Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
- Nella pagina Avvisi, seleziona Crea criterio.
- Per selezionare la metrica, espandi il menu Seleziona una metrica e procedi nel seguente modo:
- Per limitare il menu alle voci pertinenti, inserisci
Certificate Authority
nella barra dei filtri. Se non viene visualizzato alcun risultato dopo aver filtrato il menu, disattiva l'opzione di attivazione/disattivazione Mostra solo risorse e metriche attive. - In Tipo di risorsa, seleziona Autorità di certificazione.
- Per Categoria metrica, seleziona Ca.
- Per Metrica, seleziona una metrica dall'elenco di metriche privateca.
- Seleziona Applica.
- Per limitare il menu alle voci pertinenti, inserisci
- Tocca Avanti.
- Le impostazioni nella pagina Configura attivatore di avviso determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per maggiori informazioni, consulta Creare criteri di avviso per soglia di soglia delle metriche.
- Tocca Avanti.
- (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su OK.
- (Facoltativo) Aggiorna la Durata chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
- (Facoltativo) Fai clic su Documentazione, quindi aggiungi le informazioni che vuoi includere in un messaggio di notifica.
- Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
- Fai clic su Crea criterio.
Crea canale di notifica Pub/Sub
Un canale di notifica che pubblica eventi su Pub/Sub può essere configurato seguendo queste istruzioni.
Esempi di criteri di avviso
Puoi utilizzare i seguenti criteri di avviso di esempio per i casi d'uso comuni del monitoraggio di CA Service.
Per scoprire di più sui criteri di avviso, consulta la documentazione.
CA in scadenza tra 30 giorni
Questo criterio di avviso ti avvisa 30 giorni prima della scadenza di una CA gestita. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili per il progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.
Console
Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste metriche violano una condizione.
-
Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi notifications Avvisi:
- Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
- Nella pagina Avvisi, seleziona Crea criterio.
- Per selezionare la metrica, espandi il menu Seleziona una metrica e procedi nel seguente modo:
- Per limitare il menu alle voci pertinenti, inserisci
Certificate Authority
nella barra dei filtri. Se non viene visualizzato alcun risultato dopo aver filtrato il menu, disattiva l'opzione di attivazione/disattivazione Mostra solo risorse e metriche attive. - In Tipo di risorsa, seleziona Autorità di certificazione.
- Per Categoria metrica, seleziona Ca.
- Per Metrica, seleziona ca/cert_expiration.
- Seleziona Applica.
- Per limitare il menu alle voci pertinenti, inserisci
- Tocca Avanti.
- Le impostazioni nella pagina Configura attivatore di avviso determinano quando viene attivato l'avviso.
Completa questa pagina con le impostazioni indicate nella tabella seguente.
Pagina Configura trigger di avviso
Campo
ValoreCondition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- Tocca Avanti.
- (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su OK.
- (Facoltativo) Aggiorna la Durata chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
- (Facoltativo) Fai clic su Documentazione, quindi aggiungi le informazioni che vuoi includere in un messaggio di notifica.
- Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
- Fai clic su Crea criterio.
gcloud
Incolla il criterio seguente in un file denominato ca-expiration-policy.yaml
:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
Crea il criterio di avviso con il comando seguente:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
Dopo aver creato il criterio di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.
Elevato tasso di errori di creazione dei certificati
Questo criterio di avviso ti avvisa quando il rapporto di errori di creazione dei certificati, dovuti a criteri CA o a errori di convalida, supera una soglia di 0.2
. Questo criterio crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili per il progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.
gcloud
Incolla il criterio seguente in un file denominato cert-create-failure.yaml
:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
Crea il criterio di avviso con il comando seguente:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
Dopo aver creato il criterio di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, consulta Aggiornare i canali di notifica in un criterio.
Cosa fanno queste norme
Questo criterio calcola il rapporto tra errori e richieste totali. Il criterio attiva una notifica di avviso se il rapporto supera il 20% (ovvero, il rapporto è maggiore di 0,2) nel periodo di allineamento di 5 minuti.
Il filtro nella condizione seleziona il numero di errori di creazione del certificato, ovvero il numeratore nel rapporto. Il numeratore viene aggregato per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro del denominatore nella condizione seleziona il numero di richieste di creazione del certificato.
Una volta raggiunta la soglia, il criterio attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è 0 secondi. Questo criterio utilizza un numero di trigger pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.
Monitoraggio delle metriche degli indicatori
Le metriche indicatore misurano un valore in un momento specifico. Ad esempio, privateca.googleapis.com/ca/resource_state
o privateca.googleapis.com/kms/key_issue
sono metriche di misurazione. Queste metriche utilizzano un valore booleano e, al contempo, le etichette per fornire informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state
utilizza un valore booleano per indicare se lo stato della CA è abilitato, ma utilizza un'etichetta, state
, per lo stato effettivo della risorsa.
Quando monitori le metriche degli indicatori che utilizzano valori booleani, ti consigliamo di usare l'aggregatore COUNT
per creare soglie di avviso. L'aggregatore SUM
somma solo i valori booleani, mentre l'aggregatore COUNT
somma il numero delle serie temporali. Ad esempio, se vuoi determinare il numero di CA
che si trovano nello stato DISABLED
, devi creare un filtro per
state=DISABLED
. Utilizza l'aggregatore COUNT
per determinare il numero di CA
che soddisfano questa condizione.
Costo di Cloud Monitoring
Non sono previsti costi per il monitoraggio di CA Service.