Questa pagina è stata tradotta dall'API Cloud Translation.

Monitoraggio dell'integrità sulle VM schermate

Questo argomento descrive come utilizzare Cloud Monitoring per monitora l'integrità in fase di avvio delle VM schermate di istanze con monitoraggio dell'integrità attiva, identifica la causa un errore di convalida dell'integrità e aggiornare la baseline dei criteri di integrità.

Monitoraggio dell'integrità di avvio delle VM mediante Monitoring

Utilizzare Cloud Monitoring per visualizzare gli eventi di convalida dell'integrità e impostare avvisi e Cloud Logging per esaminare i dettagli di questi eventi.

Visualizzazione degli eventi di convalida dell'integrità

Per visualizzare le metriche per una risorsa monitorata mediante Metrics Explorer, segui questi passaggi:

Nella console Google Cloud, vai alla Pagina Esplora metriche:
Vai a Esplora metriche

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoraggio.
Nell'elemento Metrica, espandi il menu Seleziona una metrica, inserisci Boot Validation nella barra dei filtri, poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
1. Nel menu Risorse attive, seleziona Istanza VM.
2. Nel menu Categorie di metriche attive, seleziona Istanza.
3. Nel menu Metriche attive, seleziona Convalida avvio anticipato o Convalida avvio tardivo.
  - Convalida avvio anticipato: mostra lo stato Superato/Non superato della parte fase iniziale di avvio dell'ultima sequenza di avvio. L'avvio anticipato è sequenza di avvio dall'inizio del firmware UEFI fino al completamento al bootloader.
  - Late Boot Validation (Convalida avvio tardivo): mostra lo stato superato/non superato della la parte in ritardo dell'ultima sequenza di avvio. Il ritardo è l'avvio dal bootloader fino al completamento. È incluso il parametro del kernel del sistema operativo.
4. Fai clic su Applica.
Per rimuovere le serie temporali dal display, utilizza il metodo Elemento Filtro:
Per combinare le serie temporali, utilizza i menu nella Elemento di aggregazione: Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il valore il primo menu su Media e il secondo menu su zone.

Tutte le serie temporali vengono visualizzate quando è impostato il primo menu dell'elemento Aggregation in Unaggregated (Non aggregato). Le impostazioni predefinite per l'elemento Aggregation sono determinati dal tipo di metrica selezionato.
Per la quota e altre metriche che registrano un campione al giorno:
1. Nel riquadro Display, Imposta Tipo di widget su Grafico a barre in pila.
2. Imposta il periodo di tempo su almeno una settimana.

Impostazione di avvisi per gli eventi di convalida dell'integrità

Impostare avvisi sui valori di Early Boot Validation e Metriche Late Boot Validation se vuoi ricevere una notifica quando si verifica un avvio un errore di convalida sull'istanza VM. Per informazioni sugli avvisi, consulta Introduzione agli avvisi:

Per le impostazioni dei criteri di criterio di avviso di convalida dell'fase iniziale di avvio, consulta Convalida dell'fase iniziale di avvio di Compute Engine.
Per le impostazioni dei criteri di criterio di avviso di convalida dell'avvio tardivo, consulta Convalida dell'avvio tardivo di Compute Engine.

Visualizzazione dei dettagli dell'evento di convalida dell'integrità

Vai alla pagina Istanze VM
Fai clic sull'ID istanza per aprire la pagina Dettagli istanza VM.
In Log, fai clic su Cloud Logging.
Individua la voce di log earlyBootReportEvent o lateBootReportEvent che che vuoi rivedere.
Espandi la voce di log > jsonPayload > earlyBootReportEvent o lateBootReportEvent, a seconda dei casi. All'interno di questa sezione, l'elemento policyEvaluationPassed identifica se la sezione specificata della sequenza di avvio ha superato la verifica base dei criteri di integrità.
Espandi la sezione actualMeasurements e gli elementi numerati al suo interno per vedere registro configurazione piattaforma Valori PCR salvati dall'ultima sequenza di avvio. I valori PCR vengono salvati gli elementi value all'interno degli elementi numerati. I valori della PCR Identificare i componenti di avvio e l'ordine di caricamento dei componenti utilizzati dall'ultimo avvio di addestramento, e vengono confrontati con la baseline dei criteri di integrità determinare se ci sono state modifiche nella sequenza di avvio dell'istanza VM. Per ulteriori informazioni su ciò che rappresentano le PCR, vedere Eventi di monitoraggio dell'integrità.
Espandi la sezione policyMeasurements per visualizzare Valori PCR salvati per la base di riferimento dei criteri di integrità.

Automazione delle risposte agli eventi di convalida dell'integrità

Puoi automatizzare le risposte agli eventi di boot validation esportando Log di Cloud Logging ed elaborarli in un altro servizio come di Cloud Functions. Per ulteriori informazioni, vedi Panoramica su routing e archiviazione e Automatizzare le risposte agli errori di convalida dell'integrità.

Determinazione della causa dell'errore di convalida dell'integrità di avvio

Vai alla pagina Istanze VM
Fai clic sull'ID istanza per aprire la pagina Dettagli istanza VM.
In Log, fai clic su Cloud Logging.
Individua il log earlyBootReportEvent e lateBootReportEvent più recente e vedere quale ha un valore policyEvaluationPassed di false.
Espandi la voce di log > jsonPayload > earlyBootReportEvent o lateBootReportEvent, a seconda dei casi.
Espandi le sezioni actualMeasurements e policyMeasurements e la agli elementi numerati al loro interno per vedere registro configurazione piattaforma Valori PCR salvati dall'ultima sequenza di avvio e dal criterio di integrità base. I valori della PCR Identificare i componenti di avvio e l'ordine di caricamento dei componenti utilizzati dall'ultimo avvio la sequenza e la base di riferimento dei criteri di integrità.
Confronta i valori della PCR in actualMeasurements e policyMeasurements per determinare dove la variazione tra l'ultima sequenza di avvio e si è verificata la baseline dei criteri di integrità. Qualunque confronto generi con valori diversi è il problema che ha causato l'errore di convalida. Tieni presente che i numeri degli elementi in queste sezioni raramente corrispondono ai numeri PCR, ed elementi numerati simili in actualMeasurements e policyMeasurements potrebbe rappresentare PCR diverse. Ad esempio, nel sequenza fase iniziale di avvio sia per Windows che per Linux, l'elemento 3 in actualMeasurements e l'elemento 2 in policyMeasurements entrambi che rappresentano PCR7.

Importante: gli elementi che rappresentano PCR13 e PCR14 nella sequenza di avvio di Windows non appaiono in policyMeasurements fino al giorno il primo riavvio dopo la creazione dell'istanza VM. Durante il riavvio, I valori della PCR vengono acquisiti e aggiunti alla base di riferimento dei criteri di integrità. Fino al giorno la convalida dell'integrità di avvio utilizza solo PCR4, PCR7 e PCR11 in policyMeasurements.
Seleziona Eventi di monitoraggio dell'integrità per determinare cosa rappresenta la PCR modificata e verificare se è una variazione prevista.

Aggiornamento della base di riferimento dei criteri di integrità

La base di riferimento iniziale dei criteri di integrità deriva l'immagine di avvio implicitamente attendibile al momento della creazione dell'istanza. Aggiornamento del La baseline aggiorna la baseline dei criteri di integrità utilizzando l'istanza attuale configurazione. L'istanza VM deve essere in esecuzione quando aggiorni la baseline.

Devi aggiornare la base di riferimento dopo eventuali modifiche pianificate specifiche per l'avvio configurazione dell'istanza, ad esempio aggiornamenti del kernel o installazione del driver del kernel, queste causeranno errori di convalida dell'integrità. Se ricevi una notifica imprevista errore di convalida dell'integrità, devi esaminare il motivo dell'errore e preparati ad arrestare l'istanza, se necessario.

Devi disporre dell'autorizzazione setShieldedInstanceIntegrityPolicy per poter: aggiorna la base di riferimento dei criteri di integrità.

Usa la procedura seguente per aggiornare la base di riferimento dei criteri di integrità.

gcloud

Aggiorna la base di riferimento dei criteri di integrità dell'istanza VM usando il comando compute instances update con Flag --shielded-learn-integrity-policy.

L'esempio seguente reimposta la base dei criteri di integrità per l'account Istanza VM my-instance:

gcloud compute instances update my-instance \
    --shielded-learn-integrity-policy

API

Aggiorna la base di riferimento dei criteri di integrità dell'istanza VM usando updateAutoLearnPolicy richiede un elemento del corpo con il Metodo setShieldedInstanceIntegrityPolicy.

L'esempio seguente reimposta la base dei criteri di integrità per una VM in esecuzione in un'istanza Compute Engine.

PATCH https://compute.googleapis.com/compute/alpha/projects/my-project/zones/us-central1-b/instances/my-instance/setShieldedInstanceIntegrityPolicy?key={YOUR_API_KEY}
{
  "updateAutoLearnPolicy": true
}

Passaggi successivi

Scopri di più sulle funzionalità di sicurezza offerte da Shielded VM.
Scopri di più su modificare le opzioni su un'istanza Shielded VM.
Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.