Este documento descreve como usar o Cloud Monitoring para monitorizar a integridade do arranque de instâncias de VMs protegidas com a monitorização da integridade ativada, identificar a causa de uma falha de validação da integridade e atualizar a base de referência da política de integridade.
Monitorizar a integridade do arranque da VM através do Monitoring
Use o Cloud Monitoring para ver eventos de validação de integridade e definir alertas para os mesmos, e o Cloud Logging para rever os detalhes desses eventos.
Visualizar eventos de validação de integridade
Para ver as métricas de um recurso monitorizado através do Metrics Explorer, faça o seguinte:
-
Na Google Cloud consola, aceda à página leaderboard Explorador de métricas:
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.
- Na barra de ferramentas da Google Cloud consola, selecione o seu Google Cloud projeto. Para configurações do App Hub, selecione o projeto anfitrião do App Hub ou o projeto de gestão da pasta com apps ativadas.
- No elemento Métrica, expanda o menu Selecionar uma métrica,
introduza
Boot Validationna barra de filtros e, de seguida, use os submenus para selecionar um tipo de recurso e uma métrica específicos:- No menu Recursos ativos, selecione Instância de VM.
- No menu Categorias de métricas ativas, selecione Instância.
- No menu Métricas ativas, selecione Validação de arranque antecipada ou Validação de arranque tardia.
- Validação do arranque antecipado: mostra o estado de aprovação/reprovação da parte de arranque antecipado da última sequência de arranque. O arranque antecipado é a sequência de arranque desde o início do firmware UEFI até passar o controlo para o carregador de arranque.
- Validação de arranque tardio: mostra o estado de aprovação/reprovação da parte de arranque tardio da última sequência de arranque. O arranque tardio é a sequência de arranque desde o carregador de arranque até à conclusão. Isto inclui o carregamento do kernel do sistema operativo.
- Clique em Aplicar.
Para adicionar filtros que removem séries cronológicas dos resultados da consulta, use o elemento Filter.
Para combinar séries cronológicas, use os menus no elemento Agregação. Por exemplo, para apresentar a utilização da CPU das suas VMs, com base na respetiva zona, defina o primeiro menu como Média e o segundo menu como zona.
Todas as séries cronológicas são apresentadas quando o primeiro menu do elemento Agregação está definido como Não agregado. As predefinições do elemento Agregação são determinadas pelo tipo de métrica que selecionou.
- Para a quota e outras métricas que comunicam uma amostra por dia, faça o seguinte:
- No painel Apresentação, defina o Tipo de widget como Gráfico de barras empilhadas.
- Defina o período como, pelo menos, uma semana.
Definir alertas em eventos de validação da integridade
Defina alertas sobre os valores das métricas Validação de arranque antecipada e Validação de arranque tardia se quiser receber uma notificação quando ocorrer uma falha de validação de arranque na sua instância de VM. Para informações sobre alertas, consulte o artigo Introdução aos alertas:
Para as definições da política de alerta de validação de arranque antecipada, consulte o artigo Validação de arranque antecipada do Compute Engine.
Para ver as definições da política de alerta de validação de arranque tardio, consulte o artigo Validação de arranque tardio do Compute Engine.
Ver detalhes do evento de validação da integridade
- Aceda à página de instâncias de VM
- Clique no ID da instância para abrir a página Detalhes da instância de VM.
- Em Registos, clique em Cloud Logging.
- Localize a entrada de registo
earlyBootReportEventoulateBootReportEventque quer rever. - Expanda a entrada do registo >
jsonPayload>earlyBootReportEventoulateBootReportEvent, conforme adequado. Nessa secção, o elementopolicyEvaluationPassedidentifica se a secção fornecida da sequência de arranque passou na validação em relação à base de referência da política de integridade. - Expanda a secção
actualMeasurementse os elementos numerados na mesma para ver os valores do registo de configuração da plataforma (PCR) guardados da sequência de arranque mais recente. Os valores de PCR são guardados nos elementosvaluenos elementos numerados. Os valores de PCR identificam os componentes de arranque e a ordem de carregamento dos componentes usados pela sequência de arranque mais recente e são comparados com a base de referência da política de integridade para determinar se houve alguma alteração na sequência de arranque da instância de VM. Para mais informações sobre o que os PCRs representam, consulte o artigo Eventos de monitorização da integridade. - Expanda a secção
policyMeasurementspara ver os valores PCR guardados para a base de referência da política de integridade.
Automatizar respostas a eventos de validação da integridade
Pode automatizar as respostas a eventos de validação de arranque exportando os registos do Cloud Logging e processando-os noutro serviço, como as funções do Cloud Run. Para mais informações, consulte os artigos Vista geral do encaminhamento e armazenamento e Automatizar respostas a falhas de validação da integridade.
Determinar a causa da falha na validação da integridade do arranque
- Aceda à página de instâncias de VM
- Clique no ID da instância para abrir a página Detalhes da instância de VM.
- Em Registos, clique em Cloud Logging.
- Localize as entradas de registo
earlyBootReportEventelateBootReportEventmais recentes e veja qual delas tem um valorpolicyEvaluationPassedde false. - Expanda a entrada do registo >
jsonPayload>earlyBootReportEventoulateBootReportEvent, conforme adequado. - Expanda as secções
actualMeasurementsepolicyMeasurementse os elementos numerados nas mesmas para ver os valores do registo de configuração da plataforma (PCR) guardados da sequência de arranque mais recente e a base da política de integridade, respetivamente. Os valores de PCR identificam os componentes de arranque e a ordem de carregamento dos componentes usados pela sequência de arranque mais recente e a base de referência da política de integridade. Compare os valores de PCR nas secções
actualMeasurementsepolicyMeasurementspara determinar onde ocorreu a variação entre a sequência de arranque mais recente e a base da política de integridade. A comparação que produzir valores diferentes é o problema que causou a falha de validação. Tenha em atenção que os números dos elementos nestas secções raramente correspondem aos números de PCR e, da mesma forma, os elementos numerados de forma semelhante emactualMeasurementsepolicyMeasurementspodem representar PCRs diferentes. Por exemplo, na sequência de arranque inicial para o Windows e o Linux, o elemento3emactualMeasurementse o elemento2empolicyMeasurementsrepresentam o PCR7.Verifique os eventos de monitorização da integridade para determinar o que o PCR alterado representa e investigue se essa é uma alteração esperada.
Atualizar a base de referência da política de integridade
A base inicial da política de integridade é derivada da imagem de arranque implicitamente fidedigna quando a instância é criada. A atualização da base de referência atualiza a base de referência da política de integridade com a configuração da instância atual. A instância de VM tem de estar em execução quando atualiza a base de referência.
Deve atualizar a base de referência após quaisquer alterações planeadas específicas do arranque na configuração da instância, como atualizações do kernel ou instalação do controlador do kernel, uma vez que estas vão causar falhas na validação da integridade. Se tiver uma falha de validação de integridade inesperada, deve investigar o motivo da falha e preparar-se para parar a instância, se necessário.
Tem de ter a autorização setShieldedInstanceIntegrityPolicy para poder
atualizar a base de referência da política de integridade.
Use o procedimento seguinte para atualizar a base de referência da política de integridade.
gcloud
Atualize a base de referência da política de integridade da instância de VM através do comando compute instances update com a flag --shielded-learn-integrity-policy.
O exemplo seguinte repõe a base de referência da política de integridade para a instância de VM my-instance:
gcloud compute instances update INSTANCE_NAME \
--zone=ZONE \
--shielded-learn-integrity-policy
Substitua o seguinte:
- INSTANCE_NAME: nome da VM.
- ZONE: zona onde a VM existe.
REST
Atualize a base de referência da política de integridade da instância de VM através do item do corpo do pedido updateAutoLearnPolicy com o método setShieldedInstanceIntegrityPolicy.
O exemplo seguinte repõe a base de referência da política de integridade para uma instância de VM.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME/setShieldedInstanceIntegrityPolicy?key=YOUR_API_KEY
{
"updateAutoLearnPolicy": true
}
Substitua o seguinte:
- PROJECT_ID: ID do projeto onde a VM existe.
- INSTANCE_NAME: nome da VM.
- ZONE: zona onde a VM existe.
- YOUR_API_KEY: uma chave da API que lhe permite aceder à API.
O que se segue?
- Leia mais sobre as funcionalidades de segurança oferecidas pela VM protegida.
- Saiba mais sobre como modificar opções numa instância de VM protegida.
- Saiba mais sobre uma abordagem para automatizar as respostas a eventos de monitorização da integridade.