Neste documento, descrevemos como criar uma verificação de tempo de atividade pública. Uma verificação de tempo de atividade pública pode enviar solicitações de vários locais ao redor do mundo para URLs ou recursos do Google Cloud disponíveis publicamente para ver se o recurso responde. Para informações sobre como criar verificações de tempo de atividade para redes privadas, consulte Criar verificações de tempo de atividade privadas.
As verificações de tempo de atividade público podem determinar a disponibilidade dos seguintes recursos monitorados:- URL de verificação de tempo de atividade
- Instância de VM
- Aplicativo do App Engine
- Serviço do Kubernetes
- Instância do Amazon Elastic Compute Cloud (EC2)
- Balanceador de carga do Amazon Elastic
- Revisão do Cloud Run
Para acessar links com informações sobre como gerenciar e monitorar suas verificações de tempo de atividade, consulte a seção Próximas etapas deste documento.
Sobre as verificações de tempo de atividade
Para HTTP e HTTPS, todos os redirecionamentos de URL são seguidos e a resposta final recebida pela verificação de tempo de atividade é usada para avaliar todos os critérios de sucesso. Para verificações HTTPS, o prazo de validade do certificado SSL é calculado com base no certificado do servidor recebido na resposta final.
Para que uma verificação de tempo de atividade seja bem-sucedida, as seguintes condições precisam ser atendidas:
- O status HTTP precisa corresponder aos critérios especificados.
- Os dados de resposta não têm conteúdo obrigatório ou o conteúdo obrigatório está presente.
As verificações de tempo de atividade não carregam recursos da página nem executam JavaScript. Além disso, a configuração padrão delas não inclui autenticação.
Antes de começar
-
Para receber as permissões necessárias para criar verificações de tempo de atividade, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Editor do Monitoring (
roles/monitoring.editor
): usuários do console do Google Cloud -
Editor de configurações de verificação de tempo de atividade do Monitoring (
roles/monitoring.uptimeCheckConfigEditor
): usuários da API -
Editor de AlertPolicy do Monitoring (
roles/monitoring.alertPolicyEditor
): usuários da API -
Editor do canal de notificação do Monitoring (
roles/monitoring.notificationChannelEditor
): usuários da API
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
-
Editor do Monitoring (
Verifique se o recurso que você quer verificar tem um endpoint público ou está protegido por um firewall configurável.
Para todas as outras configurações, você precisa criar uma verificação de tempo de atividade particular. Para mais informações, consulte Criar verificações de tempo de atividade particulares.
Quando o recurso estiver protegido por um firewall, configure esse firewall para permitir a entrada de tráfego dos endereços IP dos servidores de verificação de tempo de atividade. Para mais informações, consulte Listar endereços IP do servidor de verificação de tempo de atividade.
Configure os canais que você quer usar para receber notificações. Recomendamos que você crie vários tipos de canais de notificação. Para mais informações, consulte Criar e gerenciar canais de notificação.
Identifique pelo menos três verificadores para a verificação de tempo de atividade. A região de verificação de tempo de atividade
USA
inclui as regiõesUSA_OREGON
,USA_IOWA
eUSA_VIRGINIA
. Cada uma das regiõesUSA_*
tem um verificador, eUSA
inclui todos os três. As demais regiões de verificação de tempo de atividade,EUROPE
,SOUTH_AMERICA
eASIA_PACIFIC
, têm um verificador.Se você selecionar Global ao usar o console do Google Cloud ou selecionar
REGION_UNSPECIFIED
ao usar a API, as verificações de tempo de atividade serão emitidas de todas as regiões.
Criar uma verificação de tempo de atividade
Nesta seção, você vê como criar e configurar verificações de tempo de atividade.
Para criar uma verificação de tempo de atividade para um balanceador de carga externo que tenha pelo menos uma porta TCP ou HTTP/s configurada, siga estas instruções. Uma alternativa é acessar a página Detalhes do serviço do serviço e clicar em Criar verificação de tempo de atividade. Ao iniciar na página Detalhes do serviço, os campos específicos do serviço serão preenchidos automaticamente.
Console
Para criar uma verificação de tempo de atividade usando o console do Google Cloud, faça o seguinte:
-
No console do Google Cloud, acesse a página Verificações de tempo de atividade:
Acesse Verificações de tempo de atividade
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.
Clique em Criar verificação de tempo de atividade.
Especifique o destino da verificação de tempo de atividade:
Selecione o protocolo. As opções são HTTP, HTTPS ou TCP.
Escolha um dos seguintes tipos de recursos:
- URL: qualquer nome de host ou endereço IPv4. O caminho e a porta são inseridos separadamente.
- Serviço LoadBalancer do Kubernetes: serviço do tipo LoadBalancer do Kubernetes.
- Instance: do Compute Engine ou AWS EC2.
- App Engine: aplicativos do App Engine (módulos).
- Balanceador de carga elástico: da AWS.
Insira os campos específicos do protocolo:
Para verificações de TCP, digite a porta.
Para verificações HTTP e HTTPS, insira um caminho no host ou recurso. Todas as verificações de tempo de atividade que usam esses protocolos enviam uma solicitação para
http://target/path
. Nesta expressão, para um recurso de URL,target
é um nome de host ou endereço IP. Para um recurso do App Engine,target
é um nome de host derivado do nome do serviço. Para recursos de instância e balanceador de carga,target
é um endereço IP derivado do nome fornecido para o recurso ou o grupo de recursos.Se você deixar o campo
path
em branco ou definir o valor como/
, a solicitação será emitida comohttp://target/
.Por exemplo, para emitir uma verificação de tempo de atividade para o recurso de URL
example.com/tester
, defina o campo Nome do host comoexample.com
e o campo Caminho como/tester
.Suponha que você tenha implantado um servidor no App Engine com um agente compatível com
/
e/hello
. Para emitir a verificação de tempo de atividade para o gerenciador "/", deixe o campo Path vazio. Para emitir a verificação de tempo de atividade para o gerenciador/hello
, defina o valor do campo Caminho como/hello
.
Insira os campos específicos do recurso:
Para recursos de URL, insira o nome do host no campo Nome do host. Por exemplo, insira
example.com
.Para recursos do App Engine, insira o nome do serviço no campo Serviço.
Para os recursos Elastic Load Balancer e Instance, preencha o campo Aplica-se a da seguinte maneira:
- Para emitir uma verificação de tempo de atividade para uma única instância ou balanceador de carga, selecione Único e, em seguida, use o menu para selecionar a instância ou o balanceador de carga específico.
- Para emitir uma verificação de tempo de atividade para um grupo do Monitoring, selecione Grupo e use o menu para selecionar o nome do grupo.
Opcional: para definir a frequência de execução da verificação de tempo de atividade, use o campo Frequência de verificação.
Opcional: para selecionar regiões do verificador ou configurar certificados SSL, autenticação, cabeçalhos e portas para verificações HTTP e HTTPS, clique em Mais opções de destino:
- Regiões: selecione as regiões em que as verificações de tempo de atividade devem receber solicitações. Uma verificação de tempo de atividade precisa ter pelo menos três verificadores. Há um verificador em todas as regiões, exceto nos Estados Unidos, que têm três. A configuração padrão, Global, inclui todas as regiões.
- Pings ICMP: configure a verificação de tempo de atividade para enviar até três pings. Para mais informações, consulte Usar pings ICMP.
- Método de solicitação: para verificações HTTP, selecione o método de solicitação.
- Corpo: para verificações de HTTP POST, insira o corpo codificado do URL. Você precisa fazer a codificação por conta própria. Para todas as outras verificações, deixe esse campo em branco.
- Cabeçalho do host: preencha este campo para verificar hosts virtuais. Esse campo não está disponível para verificações TCP.
- Port: especifique um número de porta.
- Cabeçalhos personalizados: forneça cabeçalhos personalizados e criptografe-os, se desejar. A criptografia oculta os valores do cabeçalho no formulário. Use a criptografia para cabeçalhos relacionados à autenticação que você não quer que outras pessoas vejam.
Autenticação: esses valores são enviados como um cabeçalho de autorização. Esse campo não está disponível para verificações TCP.
Escolha uma destas opções:
- Autenticação básica: forneça um único nome de usuário e senha. As senhas sempre estarão ocultas no formulário.
- Autenticação do agente de serviço: quando ativada, um token de identidade é gerado para o agente de serviço de monitoramento. Essa opção está disponível apenas para verificações HTTPS.
Validação do certificado SSL: se você selecionou HTTPS para um recurso de URL, por padrão, o serviço tentará se conectar por HTTPS e validar o certificado SSL. As verificações de tempo de atividade falham quando um URL tem um certificado inválido. Os motivos para um certificado inválido incluem:
- Um certificado expirado
- Um certificado autoassinado
- Um certificado com uma incompatibilidade de nome de domínio
- Um certificado que usa a extensão Authority Information Access (AIA).
Para forçar uma verificação de tempo de atividade HTTPS a validar o certificado SSL, selecione Validar certificados SSL.
Para desativar a validação do certificado SSL, desmarque a opção Validar certificados SSL.
Se você tiver certificados SSL com extensões AIA, será necessário desativar a validação do certificado SSL. Esses tipos de certificados não são compatíveis e falham na sequência de validação. Normalmente, a mensagem de erro é "Responder com erro de handshake SSL em 10.000 ms".
Use a métrica
monitoring.googleapis.com/uptime_check/time_until_ssl_cert_expires
para criar uma política de alertas que envie notificações antes da expiração do certificado. Para mais informações, consulte Políticas de amostra: política de verificação de tempo de atividade.Marque a caixa de seleção Validar certificados SSL.
Clique em Continuar e configure os requisitos de resposta. Todas as configurações nesta seção têm valores padrão:
Para alterar o tempo limite da verificação de tempo de atividade, use o campo Tempo limite de resposta. Uma verificação de tempo de atividade falha quando nenhuma resposta é recebida de mais de um local nesse período.
Para configurar a verificação de tempo de atividade para realizar a correspondência de conteúdo, verifique se o rótulo de alternância está A correspondência de conteúdo está ativada:
- Selecione o Tipo de correspondência de conteúdo de resposta no menu de opções.
Esse campo determina como o conteúdo da resposta é comparado aos dados retornados. Por exemplo, suponha que o conteúdo da resposta seja
abcd
e o tipo de correspondência seja Contains. A verificação de tempo de atividade é bem-sucedida somente quando os dados de resposta contêmabcd
. Para mais informações, consulte Validar dados de resposta. - Digite o Conteúdo da resposta. O conteúdo da resposta precisa ser uma string com até 1.024 bytes. Na API, esse campo é o objeto
ContentMatcher
.
- Selecione o Tipo de correspondência de conteúdo de resposta no menu de opções.
Esse campo determina como o conteúdo da resposta é comparado aos dados retornados. Por exemplo, suponha que o conteúdo da resposta seja
Para impedir a criação de entradas de registro devido a verificações de tempo de atividade, limpe Falhas na verificação de registros.
Para as verificações de tempo de atividade HTTP, configure os códigos de resposta aceitáveis. Por padrão, as verificações de tempo de atividade do HTTP marcam qualquer resposta
2xx
como bem-sucedida.
Clique em Continuar e configure as notificações.
Para receber uma notificação quando uma verificação de tempo de atividade falhar, crie uma política de alertas e configure canais de notificação para ela:
- Opcional: atualize o nome da política de alertas.
- Opcional: no campo Duração, selecione por quanto tempo as verificações de tempo de atividade precisam falhar antes que as notificações sejam enviadas. Por padrão, as notificações são enviadas quando pelo menos duas regiões relatam falhas na verificação de tempo de atividade por pelo menos um minuto.
Na caixa Canais de notificação, clique em Menu arrow_drop_down, selecione os canais a serem adicionados e clique em OK.
No menu, os canais de notificação são agrupados em ordem alfabética para cada tipo de canal.
Se você não quiser criar uma política de alertas, verifique se o texto do botão de ativação é Não criar um alerta.
Clique em Continuar e conclua a verificação de tempo de atividade:
Digite um título descritivo para a verificação de tempo de atividade.
Opcional: para adicionar rótulos definidos pelo usuário à verificação de tempo de atividade, faça o seguinte:
- Clique em expand_more Mostrar rótulos de usuário.
- No campo Chave, digite um nome para o rótulo.
Os nomes dos rótulos precisam começar com uma letra minúscula e podem conter letras minúsculas, numerais, sublinhados e traços. Por exemplo, insira
severity
. - No campo Valor, digite um valor para o marcador. Os valores de rótulo podem conter letras minúsculas, numerais, sublinhados e traços. Por exemplo, insira
critical
. - Para cada rótulo extra, clique em Adicionar rótulo de usuário e insira a chave e o valor do rótulo.
Para verificar a configuração da verificação de tempo de atividade, clique em Test. Se o resultado não for o esperado, consulte Verificar falhas, corrija a configuração e repita a etapa de verificação.
Clique em Criar. Se você selecionar Criar e um campo obrigatório não estiver preenchido, uma mensagem de erro será exibida.
gcloud
Para criar a verificação de tempo de atividade, execute o comando gcloud monitoring uptime create
:
gcloud monitoring uptime create DISPLAY_NAME REQUIRED_FLAGS OPTIONAL_FLAGS
Antes de executar o comando anterior, faça o seguinte:
Substitua DISPLAY_NAME pelo nome da verificação de tempo de atividade.
Configure o REQUIRED_FLAGS para especificar o recurso sondado pela verificação de tempo de atividade. Por exemplo, o comando a seguir cria uma verificação de tempo de atividade que testa o URL EXAMPLE.com para um projeto específico:
gcloud monitoring uptime create DISPLAY_NAME \ --resource-labels=host=EXAMPLE.com,project_id=PROJECT_ID \ --resource-type=uptime_url
O comando anterior especifica valores para cada rótulo exigido pelo tipo de recurso
uptime_url
.Configure as sinalizações OPTIONAL_FLAGS para substituir os valores padrão. Por exemplo, será preciso definir a sinalização
--protocol
quando o protocolo não forhttp
.
API
Para criar uma verificação de tempo de atividade, chame o método projects.uptimeCheckConfigs.create
. Defina os parâmetros dele da seguinte maneira:
parent: obrigatório. Precisa ser o nome do projeto em que será criada a verificação de tempo de atividade. Substitua
PROJECT_ID
pelo ID do seu projeto do Google Cloud. O formato é:projects/PROJECT_ID
O corpo da solicitação precisa conter um objeto
UptimeCheckConfig
para a nova verificação de tempo de atividade. Esta página fornece informações sobre alguns campos. Para ver a documentação completa sobre esse objeto e seus campos, consulteUptimeCheckConfig
:Deixe o campo
name
do objeto de configuração em branco. O sistema define esse campo quando constrói o objeto de configuração de resposta.Se você estiver configurando uma verificação HTTP ou HTTPS, preencha o campo
HttpCheck
do objetoUptimeCheckConfig
. Nesse objeto, defina o camporequestMethod
comoGET
ouPOST
. Se esse campo for omitido ou definido comoMETHOD_UNSPECIFIED
, uma solicitaçãoGET
será emitida.Se você estiver configurando uma solicitação
POST
, preencha os camposcontentType
,customContentType
opcionais ebody
.
O método create
retorna o objeto UptimeCheckConfig
da nova configuração.
Se a configuração de tempo de atividade que você criou não funcionar como esperado, consulte a seção Falhas na verificação nesta página.
C#
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para autenticar no Monitoring, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Terraform
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform. Para mais informações, consulte a documentação de referência do provedor Terraform.
Para criar uma verificação de tempo de atividade e uma política de alertas a fim de monitorá-la, faça o seguinte:
Edite seu arquivo de configuração do Terraform, adicione um recurso
google_monitoring_uptime_check_config
e aplique o arquivo de configuração.O exemplo abaixo ilustra uma configuração que verifica um URL público:
resource "google_monitoring_uptime_check_config" "example" { display_name = "example" timeout = "60s" http_check { port = "80" request_method = "GET" } monitored_resource { type = "uptime_url" labels = { project_id = "PROJECT_ID" host="EXAMPLE.com" } } checker_type = "STATIC_IP_CHECKERS" }
Opcional: crie um canal de notificação e uma política de alertas:
As etapas a seguir usam o console do Google Cloud para criar o canal de notificação e a política de alertas. Com essa abordagem, a política de alertas monitora apenas os dados gerados pela verificação de tempo de atividade.
Para criar um canal de notificação, faça o seguinte:
-
No console do Google Cloud, acesse a página notifications Alertas:
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.
- Selecione Gerenciar canais de notificação.
- Acesse o tipo de canal que você quer adicionar, clique em Adicionar e preencha a caixa de diálogo.
-
Para criar uma política de alertas, siga estas etapas:
-
No console do Google Cloud, acesse a página Verificações de tempo de atividade:
Acesse Verificações de tempo de atividade
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.
- Localize a verificação de tempo de atividade, selecione more_vert Mais e, em seguida, Adicionar política de alertas.
- Na caixa de diálogo, vá para a seção Notificações e nome, expanda Canais de notificação e faça as seleções.
- Nomeie a política de alertas e clique em Criar política.
-
Para criar uma política de alertas, adicione um recurso
google_monitoring_alert_policy
ao arquivo de configuração e aplique a nova configuração.
Pode haver um atraso de até cinco minutos antes que os resultados da verificação de tempo de atividade comecem a ser transmitidos para o Monitoring. Durante esse tempo, o painel da verificação de tempo de atividade informa o status como "no data available".
Usar pings ICMP
Para ajudar a solucionar problemas de verificações de tempo de atividade públicas com falha, configure as verificações para enviar até três pings de ICMP durante a verificação. Os pings podem ajudar a distinguir entre falhas causadas, por exemplo, por problemas de conectividade de rede e tempos limite no aplicativo.
Por padrão, as verificações de tempo de atividade não enviam pings. Cada ping adiciona latência à verificação de tempo de atividade. As verificações de tempo de atividade particulares não enviam pings.
Quando uma verificação de tempo de atividade pública falha, os resultados dos pings são gravados nos registros do Cloud Logging. Se o ping falhar, os campos a seguir serão adicionados ao campo httpRequest
na entrada de registro:
rtt_usec
: tempo de retorno para cada solicitação de ping com falha.unreachable_count
: número de solicitações de ping que retornaram o código de statusICMP_DEST_UNREACH
.no_answer_count
: número de solicitações de ping que expiraram e não retornaram resposta.
Os resultados de pings de verificações de tempo de atividade bem-sucedidas não são registrados.
Configurar pings
Cada configuração de verificação de tempo de atividade inclui um objeto HttpCheck
ou TcpCheck
.
Ambos os objetos incluem um campo pingConfig
.
Use esse campo para especificar no máximo três pings de ICMP a serem incluídos em cada verificação. Por padrão, nenhum ping é enviado.
Para configurar pings, siga um destes procedimentos:
Ao usar o console do Google Cloud, abra Mais opções de destino e insira um valor no campo Pings do ICMP.
Ao usar a API Cloud Monitoring, use o objeto
PingConfig
, que tem a estrutura a seguir:{ "pingsCount": integer }
Para mais informações sobre como usar a API Monitoring para configurações de verificação de tempo de atividade, consulte Criar uma verificação de tempo de atividade: API ou Editar uma verificação de tempo de atividade: API.
Testar verificação de tempo de atividade
Ao criar uma verificação de tempo de atividade no console do Google Cloud, é possível testar a configuração antes de salvar.
Verificações concluídas
Uma verificação de tempo de atividade é bem-sucedida quando as seguintes condições são verdadeiras:
- O status HTTP corresponde aos critérios selecionados.
- A resposta não pode ter conteúdo obrigatório, ou uma pesquisa da resposta para o conteúdo obrigatório precisa ser bem-sucedida.
Verificações com falha
Veja a seguir algumas possíveis causas de falha na verificação de tempo de atividade:
- Connection Error - Refused: se você usa o tipo de conexão padrão HTTP, verifique se há um servidor da Web instalado que esteja respondendo a solicitações HTTP. Pode ocorrer um erro de conexão em uma nova instância se você não tiver instalado um servidor da Web. Consulte o Guia de início rápido do Compute Engine. Se você usa um tipo de conexão HTTPS, talvez tenha que executar mais algumas etapas de configuração. Para problemas de firewall, consulte Listar endereços IP do servidor de verificação de tempo de atividade.
- Nome ou serviço não encontrado: o nome do host pode estar incorreto.
- 403 Proibido: o serviço está retornando um código de erro para o verificador de tempo de atividade. Por exemplo, a configuração do servidor da Web Apache padrão retorna esse código no Amazon Linux, mas retorna 200 (Success) em algumas outras versões do Linux. Consulte o Tutorial de LAMP para Amazon Linux (em inglês) ou a documentação do servidor da Web.
- 404 Não encontrado: o caminho pode estar incorreto.
- 408 Tempo esgotado da solicitação ou sem resposta: o número da porta pode estar incorreto, o serviço pode não estar em execução ou estar inacessível ou o tempo limite pode estar muito baixo. Verifique se o firewall permite tráfego proveniente dos servidores de tempo de atividade. Consulte Listar endereços IP do servidor de verificação de tempo de atividade. O tempo limite é especificado como parte das opções de Validação de resposta.
Se a verificação de tempo de atividade estiver configurada para enviar pings, os resultados das verificações com falha serão gravados no Cloud Logging. Para mais informações, consulte Usar pings ICMP.
A seguir
- Gerenciar verificações de tempo de atividade
- Criar políticas de alertas para verificações de tempo de atividade
- Listar endereços IP do servidor de verificação de tempo de atividade
- Gráfico com métricas de verificação de tempo de atividade