Utiliser les métriques Policy Controller

Cette page explique comment utiliser les métriques pour surveiller Policy Controller.

Policy Controller comprend plusieurs métriques liées à l'utilisation des règles. Par exemple, des métriques enregistrent le nombre de contraintes et de modèles de contraintes, ainsi que le nombre de violations d'audit détectées. Pour créer et enregistrer ces métriques, Policy Controller utilise OpenTelemetry. Vous pouvez configurer Policy Controller pour exporter ces métriques vers Prometheus ou Cloud Monitoring. Le paramètre par défaut pour l'exportation des métriques exporte les métriques vers Prometheus et Cloud Monitoring.

Configurer l'exportation des métriques

Vous pouvez configurer la manière dont Policy Controller exporte ses métriques. Vous pouvez choisir entre Prometheus et Cloud Monitoring lors de l'installation de Policy Controller. Par défaut, Policy Controller tente d'exporter des métriques vers Prometheus et Cloud Monitoring.

Exporter des métriques vers Cloud Monitoring

Si Policy Controller s'exécute dans un environnement Google Cloud disposant d'un compte de service par défaut, Policy Controller exporte automatiquement les métriques vers Cloud Monitoring.

Si GKE Workload Identity ou Fleet Workload Identity sont activés, autorisez Policy Controller à envoyer des métriques en exécutant la commande suivante :

Les clusters GKE sur VMware et sur solution Bare Metal ainsi que les clusters multicloud GKE (sur AWS et Azure) sont automatiquement enregistrés dans votre parc de projets avec la fonctionnalité Workload Identity du parc activée.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:PROJECT_ID.svc.id.goog[gatekeeper-system/gatekeeper-admin]" \
  --role=roles/monitoring.metricWriter

Remplacez PROJECT_ID par l'ID de projet Google Cloud du cluster.

Vous pouvez afficher ces métriques avec l'explorateur de métriques ou à l'aide de l'API Cloud Monitoring.

Exporter des métriques vers Prometheus

Policy Controller exporte les métriques pour Prometheus sur le port 8888 du pod gatekeeper-controller-manager-* sous l'espace de noms gatekeeper-system.

Si Policy Controller s'exécute sur un cluster sur lequel Google Cloud Managed Service pour Prometheus est configuré, ces métriques sont automatiquement collectées et stockées dans Cloud Monitoring. Cela fonctionne également pour les clusters qui activent Google Cloud Managed Service pour Prometheus après l'installation de Policy Controller. Vous devrez peut-être également accorder des autorisations supplémentaires au compte de service Compute Engine par défaut utilisé par Google Cloud Managed Service pour Prometheus, en fonction de vos règles. Pour en savoir plus sur l'attribution d'autorisations à Google Cloud Managed Service pour Prometheus, consultez Activer la collecte gérée : GKE. Pour en savoir plus sur la configuration de Google Cloud Managed Service pour Prometheus, consultez la page Premiers pas avec la collecte gérée.

Policy Controller étant disponible avec GKE Enterprise, il n'y a aucun coût supplémentaire pour l'observabilité de Google Cloud, y compris Google Cloud Managed Service pour Prometheus. Si Policy Controller est installé avant d'exiger une licence GKE Enterprise et que Google Cloud Managed Service pour Prometheus est activé, des frais liés aux métriques collectées peuvent s'appliquer. Pour en savoir plus sur la tarification de Cloud Monitoring, consultez la page Tarifs de Google Cloud Managed Service pour Prometheus.

Pour obtenir des exemples d'affichage des métriques avec la solution Google Cloud Managed Service pour Prometheus, consultez la section Interroger à l'aide de Cloud Monitoring.

Afficher les métriques

Les métriques Policy Controller sont exportées vers votre projet Cloud Monitoring au format Prometheus. Par conséquent, vous pouvez interroger des métriques à l'aide de l'API Cloud Monitoring et d'un tableau de bord dans la console Google Cloud. Vous pouvez modifier ce tableau de bord pour répondre à vos besoins commerciaux et opérationnels.

Pour interroger l'API Cloud Monitoring, utilisez le langage de requête Prometheus (PromQL) (langage de requête de facto pour les métriques Kubernetes) ou le langage de requête Monitoring (MQL) (langage de requête de métriques propriétaire de Google).

Pour créer le tableau de bord Policy Controller, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Tableaux de bord.

    Accéder à la page Tableaux de bord

  2. Sur la page Aperçu des tableaux de bord, cliquez sur l'onglet Exemple de bibliothèque. Cet onglet affiche tous les tableaux de bord que vous pouvez importer.

  3. Dans la colonne Catégories, sélectionnez Anthos Config Management.

  4. Dans le tableau Exemples Anthos Config Management, cochez la case Contrôleur de règles.

  5. Cliquez sur Import (Importer).

  6. Pour créer le tableau de bord, cliquez sur Confirmer dans la fenêtre de confirmation.

Pour afficher et modifier le tableau de bord du contrôleur de règles :

  1. Sur la page Aperçu des tableaux de bord, sélectionnez l'onglet Liste des tableaux de bord.
  2. Sélectionnez le tableau de bord Policy Controller.
  3. Pour personnaliser le tableau de bord, cliquez sur Modifier le tableau de bord.
  4. Apportez les modifications nécessaires, puis cliquez sur Enregistrer. Pour en savoir plus sur la personnalisation des tableaux de bord, consultez la page Filtrer un tableau de bord dans la documentation Cloud Monitoring.

Créer des alertes

Pour recevoir des notifications lorsque vos métriques atteignent certains seuils, créez des règles d'alerte dans Cloud Monitoring.

Intégration tierce

En utilisant l'API Cloud Monitoring, tout outil d'observabilité tiers peut ingérer des métriques Policy Controller.

Par exemple, si vous utilisez des tableaux de bord Grafana, ajoutez l'API Cloud Monitoring en tant que source de données dans Grafana. Pour en savoir plus, consultez la page Google Cloud Monitoring dans la documentation Grafana.

Métriques disponibles

Si Policy Controller est activé sur votre cluster et configuré pour l'exportation vers Cloud Monitoring, vous pouvez interroger les métriques suivantes (toutes précédées du préfixe OpenCensus/) :

Nom Type Libellés Description
OpenCensus/audit_duration_seconds Cumulé Distribution de la durée du cycle d'audit
OpenCensus/audit_last_run_time Jauge Horodatage de l'époch depuis la dernière exécution d'audit, exprimé en secondes avec virgule flottante
OpenCensus/constraint_template_ingestion_count Cumulé état Nombre total d'actions d'ingestion de modèle de contrainte
OpenCensus/constraint_template_ingestion_duration_seconds Cumulé état Distribution de la durée d'ingestion de modèle de contrainte
OpenCensus/constraint_templates Jauge état Nombre actuel de modèles de contraintes
OpenCensus/validation_request_count Compteur admission_status Décompte de requêtes d'admission du serveur d'API
OpenCensus/validation_request_duration_seconds Cumulé admission_status Distribution de la durée des requêtes d'admission
OpenCensus/violations Jauge enforcement_action Nombre de violations des règles d'audit détectées au cours du dernier cycle d'audit
OpenCensus/watch_manager_intended_watch_gvk Jauge Nombre de GroupVersionKinds uniques que Policy Controller est censé surveiller. Il s'agit d'une combinaison de ressources et de contraintes synchronisées.
OpenCensus/watch_manager_watched_gvk Jauge Nombre de GroupVersionKinds uniques que Policy Controller surveille réellement. Cette métrique est censée converger pour correspondre à OpenCensus/watch_manager_intended_watch_gvk.

Si Policy Controller est configuré pour exporter vers Prometheus, vous pouvez interroger les métriques suivantes (toutes précédées du préfixe Prometheus/) :

Nom Type Libellés Description
Prometheus/gatekeeper_audit_duration_seconds/histogram Cumulé Distribution de la durée du cycle d'audit
Prometheus/gatekeeper_audit_last_run_end_time/gauge Jauge Horodatage de l'epoch de la fin de la dernière exécution d'audit, exprimé en secondes avec virgule flottante
Prometheus/gatekeeper_audit_last_run_time/gauge Jauge Horodatage de l'epoch du début de la dernière exécution d'audit, exprimé en secondes avec virgule flottante
Prometheus/gatekeeper_constraint_template_ingestion_count/counter Cumulé état Nombre total d'actions d'ingestion de modèle de contrainte
Prometheus/gatekeeper_constraint_template_ingestion_duration_seconds/histogram Cumulé état Distribution de la durée d'ingestion de modèle de contrainte
Prometheus/gatekeeper_constraint_templates/gauge Jauge état Nombre actuel de modèles de contraintes
Prometheus/gatekeeper_validation_request_count/counter Cumulé admission_status, admission_dryrun Décompte de requêtes d'admission du serveur d'API
Prometheus/gatekeeper_validation_request_duration_seconds/histogram Cumulé admission_status Distribution de la durée des requêtes d'admission
Prometheus/gatekeeper_violations/gauge Jauge enforcement_action Nombre de violations des règles d'audit détectées au cours du dernier cycle d'audit
Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge Jauge Nombre de GroupVersionKinds uniques que Policy Controller est censé surveiller. Il s'agit d'une combinaison de ressources et de contraintes synchronisées.
Prometheus/gatekeeper_watch_manager_watched_gvk/gauge Jauge Nombre de GroupVersionKinds uniques que Policy Controller surveille réellement. Cette métrique est censée converger pour correspondre à Prometheus/gatekeeper_watch_manager_intended_watch_gvk/gauge.

Étapes suivantes