Ressourcen mit Cloud Monitoring beobachten

Mit Cloud Monitoring können Sie Vorgänge beobachten, die im Certificate Authority Service für Ressourcen ausgeführt werden.

Hinweis

Richten Sie ein Google Cloud Projekt ein, für das die Certificate Authority Service API aktiviert ist, falls noch nicht geschehen. Weitere Informationen finden Sie unter Umgebung vorbereiten.

Messwerte in Cloud Monitoring ansehen

Console

So rufen Sie mit dem Metrics Explorer die Messwerte für eine überwachte Ressource auf:

  1. Rufen Sie in der Google Cloud Console die  Metrics Explorer Seite auf:

    Zu Metrics Explorer

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie in der Symbolleiste der Google Cloud Console Ihr Projekt von Google Cloud aus. Wählen Sie für App Hub-Konfigurationen das App Hub-Hostprojekt oder das Verwaltungsprojekt des für Apps aktivierten Ordners aus.
  3. Maximieren Sie im Element Messwert das Menü Messwert auswählen , geben Sie Certificate Authority in die Filterleiste ein und wählen Sie dann über die Untermenüs einen bestimmten Ressourcentyp und Messwert aus:
    1. Wählen Sie im Menü Aktive Ressourcen die Option Certificate Authority aus.
    2. Einen Messwert wählen Sie in den Menüs Aktive Messwertkategorien und Aktive Messwerte aus. Eine Liste der Messwerte finden Sie unter privateca-Messwerte.
    3. Klicken Sie auf Übernehmen.

  4. Verwenden Sie das Filter-Element, um Filter hinzuzufügen, mit denen Zeitreihen aus den Abfrageergebnissen entfernt werden.

  5. Verwenden Sie zum Kombinieren von Zeitreihen die Menüs im Aggregation Element. Wenn Sie beispielsweise die CPU-Auslastung für Ihre VMs basierend auf ihrer Zone anzeigen möchten, legen Sie das erste Menü auf Mittelwert und das zweite Menü auf Zone fest.

    Alle Zeitreihen werden angezeigt, wenn das erste Menü des Elements Aggregation auf Nicht aggregiert gesetzt ist. Die Standardeinstellungen für das Element Aggregation werden durch den ausgewählten Messwerttyp bestimmt.

  6. Gehen Sie für Kontingente und andere Messwerte, die eine Stichprobe pro Tag melden, so vor:
    1. Legen Sie im Bereich Anzeige den Widget-Typ auf Gestapeltes Balkendiagramm fest.
    2. Legen Sie als Zeitraum mindestens eine Woche fest.

CA Service-Messwerte

Die Liste der Messwerte finden Sie in der Cloud Monitoring Dokumentation.

Die Dokumentation zu überwachten Ressourcen finden Sie unter Überwachte Ressourcen.

Kontingentbenachrichtigungen und -monitoring einrichten

Mit Cloud Monitoring können Sie Benachrichtigungen zur Kontingentnutzung und das Monitoring einrichten.

Weitere Informationen zum Einrichten von Benachrichtigungen und Erstellen von Diagrammen finden Sie unter Kontingentbenachrichtigungen und -monitoring einrichten.

Folgen Sie dieser Anleitung, um empfohlene Benachrichtigungen zu aktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Übersicht“ des CA Service auf.

    Certificate Authority Service

  2. Klicken Sie rechts oben auf der Seite „Übersicht“ auf + 5 empfohlene Benachrichtigungen.

  3. Aktivieren oder deaktivieren Sie jede Benachrichtigung und lesen Sie die Beschreibung.

    • Einige Benachrichtigungen unterstützen benutzerdefinierte Schwellenwerte. Sie können beispielsweise angeben, wann Sie über ein ablaufendes CA-Zertifikat oder die Fehlerrate bei einer hohen Anzahl von Fehlern beim Erstellen von Zertifikaten benachrichtigt werden möchten.
    • Alle Benachrichtigungen unterstützen Benachrichtigungskanäle.

  4. Klicken Sie auf Senden , nachdem Sie alle ausgewählten Benachrichtigungen aktiviert haben.

Benachrichtigungsrichtlinie erstellen

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Rufen Sie in der Google Cloud Console die Seite  Benachrichtigungen auf:

    Zu Benachrichtigungen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Certificate Authority ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Nur aktive Ressourcen und Messwerte anzeigen Option.
    2. Wählen Sie als Ressourcentyp Certificate Authority aus.
    3. Wählen Sie als Messwertkategorie Ca aus.
    4. Wählen Sie als Messwert einen Messwert aus der Liste der privateca-Messwerte aus.
    5. Klicken Sie auf Anwenden.
  5. Klicken Sie auf Weiter.
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Wählen Sie einen Bedingungstyp aus, und geben Sie ggf. einen Schwellenwert an. Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.
  7. Klicken Sie auf Weiter.
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus, und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation, und geben Sie alle Informationen an, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Benachrichtigungsname, und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungen – Übersicht.

Pub/Sub-Benachrichtigungskanal erstellen

Ein Benachrichtigungskanal, der Ereignisse in Pub/Sub veröffentlicht, kann so eingerichtet werden: indem Sie diese Anleitung befolgen.

Beispiel für Benachrichtigungsrichtlinien

Sie können die folgenden Beispiel-Benachrichtigungsrichtlinien für häufige Anwendungsfälle des CA Service-Monitorings verwenden.

Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie in der Dokumentation.

CA läuft in 30 Tagen ab

Diese Benachrichtigungsrichtlinie benachrichtigt Sie 30 Tage vor Ablauf einer verwalteten CA. Diese Richtlinie erstellt Benachrichtigungen für alle verwalteten CAs in allen Projekten, deren Messwerte für das im Google Cloud Projektauswahlfeld der Console ausgewählte Google Cloud Projekt sichtbar sind. Informationen zur Sichtbarkeit von Messwerten, siehe Messwertbereich.

Console

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Rufen Sie in der Google Cloud Console die Seite  Benachrichtigungen auf:

    Zu Benachrichtigungen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste Certificate Authority ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Nur aktive Ressourcen und Messwerte anzeigen Option.
    2. Wählen Sie als Ressourcentyp Certificate Authority aus.
    3. Wählen Sie als Messwertkategorie Ca aus.
    4. Wählen Sie als Messwert ca/cert_expiration aus.
    5. Klicken Sie auf Anwenden.
  5. Klicken Sie auf Weiter.
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Füllen Sie diese Seite mit den Einstellungen in der folgenden Tabelle aus.
    Seite Benachrichtigungstrigger konfigurieren
    Feld
    Wert
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Klicken Sie auf Weiter.
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus, und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation, und geben Sie alle Informationen an, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Benachrichtigungsname, und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungen – Übersicht.

gcloud

Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen ca-expiration-policy.yaml ein:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:

gcloud monitoring policies create --policy-from-file ca-expiration-policy.yaml

Nachdem Sie die Benachrichtigungsrichtlinie erstellt haben, folgen Sie der Anleitung unter Benachrichtigungskanäle verwalten um bei Bedarf Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Wenn Sie einer vorhandenen Benachrichtigungsrichtlinie einen Benachrichtigungskanal hinzufügen möchten, folgen Sie der Anleitung unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.

Hohe Anzahl von Fehlern beim Erstellen von Zertifikaten

Diese Benachrichtigungsrichtlinie benachrichtigt Sie, wenn das Verhältnis von Fehlern beim Erstellen von Zertifikaten aufgrund von CA-Richtlinien oder Validierungsfehlern einen Schwellenwert von 0.2 überschreitet. Diese Richtlinie erstellt Benachrichtigungen für alle verwalteten CAs in allen Projekten, deren Messwerte für das im Google Cloud Projektauswahlfeld der Console ausgewählte Google Cloud Projekt sichtbar sind. Informationen zur Sichtbarkeit von Messwerten, siehe Messwertbereich.

gcloud

Fügen Sie die folgende Richtlinie in eine Datei mit dem Namen cert-create-failure.yaml ein:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Erstellen Sie die Benachrichtigungsrichtlinie mit dem folgenden Befehl:

gcloud monitoring policies create --policy-from-file cert-create-failure.yaml

Nachdem Sie die Benachrichtigungsrichtlinie erstellt haben, folgen Sie der Anleitung unter Benachrichtigungskanäle verwalten um bei Bedarf Benachrichtigungskanäle zu erstellen oder zu aktualisieren. Wenn Sie einer vorhandenen Benachrichtigungsrichtlinie einen Benachrichtigungskanal hinzufügen möchten, folgen Sie der Anleitung unter Benachrichtigungskanäle in einer Richtlinie aktualisieren.

Was bewirkt diese Richtlinie?

Diese Richtlinie berechnet das Verhältnis von Fehlern zu Gesamtanfragen. Die Richtlinie löst eine Benachrichtigung aus, wenn das Verhältnis im Ausrichtungszeitraum von 5 Minuten über 20 % liegt (d. h. das Verhältnis größer als 0,2 ist).

Der Filter in der Bedingung wählt die Anzahl der Fehler beim Erstellen von Zertifikaten aus, die den Zähler im Verhältnis darstellt. Der Zähler wird nach Projekt, Standort und CA-Ressourcen-ID aggregiert, da dieser Messwert zusätzliche Labels hat. Der Nennerfilter in der Bedingung wählt die Anzahl der Anfragen zum Erstellen von Zertifikaten aus.

Sobald der Schwellenwert erreicht ist, löst die Richtlinie sofort die Benachrichtigung aus, da die zulässige Dauer für die Bedingung 0 Sekunden beträgt. Für diese Richtlinie wird ein Trigger-Zähler von 1 verwendet. Dabei handelt es sich um die Anzahl der Zeitachsen, die gegen die Bedingung zum Auslösen der Benachrichtigung verstoßen.

Messgeräte-Messwerte beobachten

Messgeräte-Messwerte messen einen Wert zu einem bestimmten Zeitpunkt. Beispielsweise sind privateca.googleapis.com/ca/resource_state oder privateca.googleapis.com/kms/key_issue Messgeräte-Messwerte. Diese Messwerte verwenden einen booleschen Wert und liefern mit Labels zusätzliche Informationen. For example, privateca.googleapis.com/ca/resource_state verwendet beispielsweise einen booleschen Wert, um anzugeben, ob der CA-Status aktiviert ist, aber ein Label (state) für den tatsächlichen Ressourcenstatus.

Wenn Sie Messgeräte-Messwerte mit booleschen Werten beobachten, empfehlen wir, den Aggregator COUNT zu verwenden, um Benachrichtigungsschwellenwerte zu erstellen. Der Aggregator SUM summiert nur die booleschen Werte, während der Aggregator COUNT die Anzahl der Zeitreihen summiert. Wenn Sie beispielsweise die Anzahl der CAs ermitteln möchten, die sich im Status DISABLED befinden, sollten Sie einen Filter für state=DISABLED erstellen. Verwenden Sie den Aggregator COUNT, um die Anzahl der CAs zu ermitteln, die dieser Bedingung entsprechen.

Cloud Monitoring-Kosten

Für das Monitoring des CA Service fallen keine Kosten an.

Nächste Schritte