Halaman ini menjelaskan cara menggunakan metrik untuk memantau Pengontrol Kebijakan.
Pengontrol Kebijakan mencakup beberapa metrik yang terkait dengan penggunaan kebijakan. Misalnya, ada metrik yang mencatat jumlah {i>constraints <i}dan {i>template <i}batasan, dan jumlah pelanggaran audit yang terdeteksi. Untuk membuat dan mencatat metrik ini, Pengontrol Kebijakan menggunakan OpenTelemetry. Anda dapat mengonfigurasi Pengontrol Kebijakan untuk mengekspor metrik ini ke Prometheus atau Cloud Monitoring. Setelan default untuk mengekspor metrik mengekspor metrik ke Prometheus dan Cloud Monitoring.
Mengonfigurasi ekspor metrik
Anda dapat mengonfigurasi cara Pengontrol Kebijakan mengekspor metriknya. Anda dapat memilih Prometheus, Cloud Monitoring, keduanya, atau tidak keduanya saat menginstal Pengontrol Kebijakan. Secara default, Pengontrol Kebijakan mencoba mengekspor metrik ke Prometheus dan dan konfigurasi di Cloud Monitoring.
Mengekspor metrik ke Cloud Monitoring
Jika Pengontrol Kebijakan berjalan di dalam lingkungan Google Cloud yang memiliki akun layanan default, Pengontrol Kebijakan mengekspor metrik secara otomatis ke Cloud Monitoring.
Jika GKE Workload Identity Federation for GKE atau fleet Workload Identity Federation for GKE diaktifkan, izinkan Pengontrol Kebijakan mengirim metrik dengan menjalankan perintah berikut:
Cluster GKE di VMware, on bare metal, dan Cluster Multi-Cloud GKE (baik di AWS maupun Azure) otomatis terdaftar ke fleet project Anda dengan fleet Workload Identity Federation for GKE diaktifkan.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:PROJECT_ID.svc.id.goog[gatekeeper-system/gatekeeper-admin]" \
--role=roles/monitoring.metricWriter
Ganti PROJECT_ID dengan ID project Google Cloud cluster.
Anda dapat melihat metrik ini dengan Metrics Explorer atau dengan menggunakan Cloud Monitoring API.
Mengekspor metrik ke Prometheus
Pengontrol Kebijakan mengekspor metrik untuk Prometheus di port 8888 file
Pod gatekeeper-controller-manager-* pada namespace gatekeeper-system.
Jika Pengontrol Kebijakan berjalan di cluster dengan Google Cloud Managed Service for Prometheus yang sudah dikonfigurasi, metrik ini akan otomatis dikumpulkan dan disimpan di Cloud Monitoring. Cara ini juga berfungsi untuk cluster yang mengaktifkan Google Cloud Managed Service for Prometheus setelah Pengontrol Kebijakan diinstal. Anda mungkin juga perlu memberikan izin tambahan ke akun layanan Compute Engine default yang digunakan Google Cloud Managed Service for Prometheus, bergantung pada kebijakan Anda. Untuk mengetahui detail tentang cara memberikan izin ke Google Cloud Managed Service for Prometheus, lihat Mengaktifkan Pengumpulan Terkelola: GKE. Untuk informasi selengkapnya tentang cara mengonfigurasi Google Cloud Managed Service for Prometheus, lihat Mulai menggunakan koleksi terkelola.
Karena Pengontrol Kebijakan tersedia dengan GKE Enterprise, tidak ada biaya tambahan untuk Kemampuan Observasi Google Cloud, termasuk Google Cloud Managed Service for Prometheus. Jika Anda telah menginstal Pengontrol Kebijakan sebelum memerlukan lisensi GKE Enterprise, dan mengaktifkan Google Cloud Managed Service for Prometheus, Anda mungkin melihat tagihan untuk metrik yang terkumpul. Untuk mengetahui informasi lebih lanjut tentang harga Cloud Monitoring, lihat Harga untuk Google Cloud Managed Service for Prometheus.
Untuk contoh cara melihat metrik dengan solusi Google Cloud Managed Service for Prometheus, lihat Membuat kueri menggunakan Cloud Monitoring.
Lihat metrik
Metrik Pengontrol Kebijakan diekspor ke project Cloud Monitoring Anda di Format Prometheus. Hasilnya, Anda dapat membuat kueri metrik dengan menggunakan Cloud Monitoring API dan dasbor di Konsol Google Cloud. Anda dapat mengedit dasbor ini untuk memenuhi kebutuhan bisnis dan operasional Anda.
Untuk membuat kueri Cloud Monitoring API, gunakan Bahasa Kueri Prometheus (PromQL) (bahasa kueri de-facto untuk metrik Kubernetes) atau Bahasa Kueri Pemantauan (MQL) (Bahasa kueri metrik eksklusif Google).
Untuk membuat dasbor Pengontrol Kebijakan:
Di Konsol Google Cloud, buka halaman Dashboards.
Di halaman Dashboards overview, klik tab Sample library. Tab ini menampilkan semua dasbor yang dapat Anda impor.
Di kolom Kategori, pilih Anthos Config Management.
Pada tabel Contoh Anthos Config Management, pilih Kebijakan Pengontrol.
Klik download Impor.
Untuk membuat dasbor, klik Konfirmasi di jendela konfirmasi.
Untuk melihat dan mengedit dasbor Pengontrol Kebijakan:
- Di halaman Ringkasan dasbor, pilih tab Daftar dasbor.
- Pilih dasbor Pengontrol Kebijakan.
- Untuk menyesuaikan dasbor, klik Edit dasbor.
- Lakukan perubahan yang diperlukan, lalu klik Simpan. Untuk mempelajari lebih lanjut menyesuaikan dasbor, lihat Memfilter dasbor dalam dokumentasi Cloud Monitoring.
Membuat pemberitahuan
Untuk menerima notifikasi saat metrik Anda memenuhi nilai minimum tertentu, membuat kebijakan pemberitahuan di Cloud Monitoring.
Integrasi pihak ketiga
Dengan menggunakan Cloud Monitoring API, alat kemampuan observasi pihak ketiga dapat menyerap Metrik Pengontrol Kebijakan.
Misalnya, jika Anda menggunakan dasbor Grafana, tambahkan Cloud Monitoring API sebagai sumber data di Grafana. Untuk mempelajari lebih lanjut, lihat Google Cloud Monitoring dalam dokumentasi Grafana.
Metrik yang tersedia
Jika Pengontrol Kebijakan diaktifkan di cluster Anda dan dikonfigurasi untuk mengekspor ke Cloud Monitoring, Anda dapat mengkueri hal berikut ini
metrik (semua diawali dengan OpenCensus/):
| Nama | Jenis | Label | Deskripsi |
|---|---|---|---|
OpenCensus/audit_duration_seconds |
Kumulatif | Distribusi durasi siklus audit | |
OpenCensus/audit_last_run_time |
Meteran | Stempel waktu epoch sejak runtime audit terakhir, yang diberikan sebagai detik dalam floating point | |
OpenCensus/constraint_template_ingestion_count |
Kumulatif | status | Jumlah total tindakan penyerapan template batasan |
OpenCensus/constraint_template_ingestion_duration_seconds |
Kumulatif | status | Distribusi durasi penyerapan Template batasan |
OpenCensus/constraint_templates |
Meteran | status | Jumlah template batasan saat ini |
OpenCensus/validation_request_count |
Penghitung | admission_status | Jumlah permintaan masuk dari server API |
OpenCensus/validation_request_duration_seconds |
Kumulatif | admission_status | Distribusi durasi permintaan masuk |
OpenCensus/violations |
Meteran | enforcement_action | Jumlah pelanggaran audit yang terdeteksi dalam siklus audit terakhir |
OpenCensus/watch_manager_intended_watch_gvk |
Meteran | Jumlah Pengontrol Kebijakan GroupVersionKinds unik yang ingin dipantau. Metrik ini adalah kombinasi resource dan batasan yang disinkronkan. | |
OpenCensus/watch_manager_watched_gvk |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang benar-benar ditonton. Metrik ini dimaksudkan untuk dikonvergensi agar sama dengan OpenCensus/watch_manager_intended_watch_gvk. |
Jika Pengontrol Kebijakan dikonfigurasi untuk mengekspor ke Prometheus, Anda dapat mengkueri metrik berikut (semua diawali dengan Prometheus/):
| Nama | Jenis | Label | Deskripsi |
|---|---|---|---|
Prometheus/gatekeeper_audit_duration_seconds/histogram |
Kumulatif | Distribusi durasi siklus audit | |
Prometheus/gatekeeper_audit_last_run_end_time/gauge |
Meteran | Stempel waktu epoch akhir proses audit terakhir, diberikan sebagai detik dalam floating point | |
Prometheus/gatekeeper_audit_last_run_time/gauge |
Meteran | Stempel waktu epoch dari awal proses audit terakhir, diberikan sebagai detik dalam floating point | |
Prometheus/gatekeeper_constraint_template_ingestion_count/counter |
Kumulatif | status | Jumlah total tindakan penyerapan template batasan |
Prometheus/gatekeeper_constraint_template_ingestion_duration_seconds/histogram |
Kumulatif | status | Distribusi durasi penyerapan Template batasan |
Prometheus/gatekeeper_constraint_templates/gauge |
Meteran | status | Jumlah template batasan saat ini |
Prometheus/gatekeeper_validation_request_count/counter |
Kumulatif | admission_status, admission_dryrun (status_masuk), | Jumlah permintaan masuk dari server API |
Prometheus/gatekeeper_validation_request_duration_seconds/histogram |
Kumulatif | admission_status | Distribusi durasi permintaan masuk |
Prometheus/gatekeeper_violations/gauge |
Meteran | enforcement_action | Jumlah pelanggaran audit yang terdeteksi dalam siklus audit terakhir |
Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge |
Meteran | Jumlah Pengontrol Kebijakan GroupVersionKinds unik yang ingin dipantau. Metrik ini adalah kombinasi resource dan batasan yang disinkronkan. | |
Prometheus/gatekeeper_watch_manager_watched_gvk/gauge |
Meteran | Berapa banyak Pengontrol Kebijakan GroupVersionKinds unik yang benar-benar ditonton. Metrik ini dimaksudkan untuk dikonvergensi agar sama dengan Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge. |