Descripción general de los permisos de métricas

En este documento, se describe cómo Cloud Monitoring determina qué datos de series temporales puede graficar y supervisar tu proyecto de Google Cloud. Si solo deseas graficar y supervisar los datos de series temporales que recopila tu proyecto de Google Cloud, entonces no necesitas realizar ninguna configuración. Te recomendamos que completes la guía de inicio rápido de Compute Engine. Sin embargo, si deseas graficar y supervisar los datos de las series temporales que recopilan varios proyectos de Google Cloud, es necesario realizar algunos parámetros de configuración. En este documento, se presenta el modelo de datos y las prácticas recomendadas. Para obtener información sobre la configuración, consulta los documentos que se indican en la sección ¿Qué sigue?.

Modelo de datos

En esta sección, se presentan los conceptos de un contenedor de recursos, un permiso de métricas y un proyecto de permisos.

Contenedor de recursos
Un contenedor de recursos es un proyecto de Google Cloud. Los contenedores de recursos almacenan datos de series temporales para los servicios y la cuota que usa ese contenedor. Los datos de series temporales que almacena un contenedor de recursos incluyen una etiqueta que identifica el contenedor de recursos. Cuando veas datos almacenados en varios contenedores de recursos, podrás filtrar y agrupar por esa etiqueta.
Permisos de métricas
El alcance de las métricas de un proyecto de Google Cloud define el conjunto de contenedores de recursos cuyos datos de series temporales el proyecto puede graficar y supervisar. Los datos supervisados incluyen los servicios que compilas y asocias con los SLO y las políticas de alertas. De forma predeterminada, el permiso de métricas de un proyecto de Google Cloud solo incluye ese proyecto. Por lo tanto, a menos que configures el ámbito de las métricas, un proyecto de Google Cloud solo puede crear gráficos y supervisar los datos de series temporales que almacena. Puedes usar la consola de Google Cloud, Google Cloud CLI y la API de Cloud Monitoring para modificar la lista de contenedores de recursos que se incluyen en un permiso de métricas.
Proyecto de permisos
Un proyecto de permisos aloja un permiso de métricas. El proyecto de alcance almacena las políticas de alertas, las verificaciones de tiempo de actividad, los paneles, los monitores sintéticos, los servicios y los grupos de supervisión que configuras. Debido a que cada proyecto de Google Cloud aloja un permiso de métricas, cada proyecto también es un proyecto de permisos. Cuando usas la consola de Google Cloud, el proyecto de permisos es el que selecciona el selector de proyectos de la consola de Google Cloud.

Ejemplo de configuración del alcance de las métricas

Supongamos que tienes dos proyectos, Staging y Production, que contienen instancias de máquina virtual (VM) de Compute Engine. Para ver las métricas de todas tus VMs en una sola vista, crea otro proyecto, AllEnvironments, y, luego, agrega los proyectos Staging y Production al alcance de las métricas del proyecto llamado AllEnvironments.

Con esta configuración, para crear un gráfico que muestre datos de series temporales almacenados en el proyecto Staging, el primer paso es abrir la consola de Google Cloud y seleccionar un proyecto con el selector de proyectos de la consola de Google Cloud:

  • Si seleccionas AllEnvironments, el gráfico puede mostrar los datos de las series temporales que almacena el proyecto Staging junto con los datos de las series temporales que almacenan los proyectos Production y AllEnvironments. Para ver los datos de series temporales que almacena el proyecto Staging, puedes agregar un filtro.

    La línea discontinua del siguiente diagrama muestra los proyectos cuyos datos de series temporales pueden graficarse y supervisarse en el proyecto AllEnvironments:

    El permiso de las métricas de varias vistas incluye los tres proyectos seleccionados.

  • Si seleccionas Staging, el gráfico mostrará los datos de series temporales que almacenó el proyecto Staging.

    El permiso de las métricas de la “Etapa de prueba” solo incluye el proyecto de “Etapa de prueba”.

Prácticas recomendadas

  • Cuando quieras graficar o supervisar datos de series temporales almacenados en varios contenedores de recursos, te recomendamos que uses un proyecto de Google Cloud nuevo o uno sin recursos como el proyecto de alcance, ya que estos proyectos no almacenan datos de series temporales.

    Considera una situación en la que tu proyecto de definición de alcance contenga recursos como VMs. Para graficar o supervisar solo los datos de series temporales de las VMs en el proyecto de delimitación, debes especificar filtros para excluir las series temporales de las VMs almacenadas en contenedores de recurso supervisado. El requisito de usar filtros aumenta la complejidad de configurar un gráfico y una política de alertas, y aumenta la posibilidad de un error de configuración.

  • Considera usar varios proyectos de permisos para controlar qué equipos tienen acceso a los datos de series temporales almacenados en tus proyectos. En la siguiente tabla, se ilustra una posible configuración:

      Permiso A Permiso B Permiso C
    Proyecto de permisos scoping-project-A scoping-project-B scoping-project-C
    Proyectos supervisados Permiso 1
    Permiso 2    		 Permiso 3
    Permiso 4    		 Proyecto 1
    Proyecto 2
    Proyecto 3
    Proyecto 4
    Proyecto 5
    Grupo con permisos de IAM
    (ejemplo)    		 Equipo de desarrollo A Equipo de desarrollo B Equipo de SRE

Otorga acceso a Cloud Monitoring

Para ver los datos de series temporales que un proyecto puede graficar o supervisar, tu rol de Identity and Access Management (IAM) en el proyecto debe incluir todos los permisos del rol de Visualizador de Monitoring (roles/monitoring.viewer). No necesitas ningún otro permiso. Por ejemplo, supongamos que el permiso de métricas de un proyecto de permisos supervisa tres proyectos de Google Cloud y que tienes el rol de visor de supervisión en el proyecto de permisos. Cuando accedes al proyecto de permisos con la consola de Google Cloud, puedes ver los datos de series temporales almacenados en ese proyecto y los datos de series temporales almacenados en los otros tres proyectos de Google Cloud.

Para modificar un permiso de métricas, tus roles de IAM en el proyecto de alcance y en cada contenedor de recursos que quieras agregar deben incluir todos los permisos del rol de Administrador de Monitoring (roles/monitoring.admin).

Para obtener más información, consulta Controla el acceso con Identity and Access Management.

Precios

En general, las métricas del sistema de Cloud Monitoring son gratuitas, mientras que las métricas de sistemas, agentes o aplicaciones externos no lo son. Las métricas facturables se facturan según la cantidad de bytes o la cantidad de muestras transferidas.

Para obtener más información sobre los precios de Cloud Monitoring, consulta los siguientes documentos:

¿Qué sigue?