Monitoraggio delle risorse tramite Cloud Monitoring

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.

Prima di iniziare

Se non l'hai ancora fatto, configura un Google Cloud progetto con l'API Certificate Authority Service abilitata. Per informazioni, consulta Preparare l'ambiente.

Visualizzare le metriche in Cloud Monitoring

Console

Per visualizzare le metriche per una risorsa monitorata con Metrics Explorer, segui questi passaggi:

  1. Nella Google Cloud console, vai alla  Esplora metriche pagina:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nella barra degli strumenti della console Google Cloud , seleziona il tuo progetto Google Cloud . Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione della cartella app.
  3. Nell'elemento Metrica , espandi il menu Seleziona una metrica , digita Certificate Authority nella barra dei filtri e poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
    1. Nel menu Risorse attive, seleziona Certificate Authority.
    2. Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta metriche privateca.
    3. Fai clic su Applica.

  4. Per aggiungere filtri, che rimuovono le serie temporali dai risultati della query, utilizza l' elemento Filtro.

  5. Per combinare le serie temporali, utilizza i menu dell' elemento Aggregazione. Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Media e il secondo menu su zona.

    Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregazione è impostato su Nessuna aggregazione. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica che hai selezionato.

  6. Per la quota e altre metriche che riportano un campione al giorno, procedi nel seguente modo:
    1. Nel riquadro Visualizzazione , imposta Tipo di widget su Grafico a barre in pila.
    2. Imposta il periodo di tempo su almeno una settimana.

Metriche di CA Service

L'elenco delle metriche può essere visualizzato nella documentazione di Cloud Monitoring .

La documentazione relativa risorsa monitorata può essere visualizzata in Risorse monitorate.

Configurare avvisi e monitoraggio della quota

Puoi configurare avvisi e monitoraggio sull'utilizzo della quota utilizzando Cloud Monitoring.

Per saperne di più su come configurare gli avvisi e creare i grafici, consulta Configurare avvisi e monitoraggio della quota.

Segui queste istruzioni per attivare gli avvisi consigliati.

Console

  1. Vai alla pagina Panoramica di CA Service nella Google Cloud console.

    Certificate Authority Service

  2. In alto a destra nella pagina Panoramica, fai clic su + 5 Avvisi consigliati.

  3. Attiva o disattiva ogni avviso, leggendone la descrizione.

    • Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere un avviso per un certificato CA in scadenza o la percentuale di errori per un'elevata percentuale di errori di creazione dei certificati.
    • Tutti gli avvisi supportano i canali di notifica.

  4. Fai clic su Invia dopo aver attivato tutti gli avvisi selezionati.

Crea una criterio di avviso

Console

Puoi creare policy di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella console Google Cloud , vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea policy.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci rilevanti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. Per Tipo di risorsa, seleziona Certificate Authority.
    3. Per Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona una metrica dall' elenco delle metriche privateca.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger di avviso determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per saperne di più, consulta Crea policy di avviso basate su soglie metriche.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche alla tua policy di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per la policy di avviso.
  12. Fai clic su Crea policy.
Per saperne di più, consulta la Panoramica degli avvisi.

Creare un canale di notifica Pub/Sub

Puoi configurare un canale di notifica che pubblica gli eventi su Pub/Sub seguendo queste istruzioni.

Policy di avviso di esempio

Puoi utilizzare le seguenti policy di avviso di esempio per i casi d'uso comuni di monitoraggio di CA Service.

Per saperne di più sulle policy di avviso, consulta la documentazione.

CA in scadenza tra 30 giorni

Questa policy di avviso ti invia una notifica 30 giorni prima della scadenza di una CA gestita. Questa policy crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al Google Cloud progetto selezionato nel Google Cloud selettore di progetti della console. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

Console

Puoi creare policy di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella console Google Cloud , vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea policy.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci rilevanti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. Per Tipo di risorsa, seleziona Certificate Authority.
    3. Per Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona ca/cert_expiration.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger di avviso determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni nella tabella seguente.
    Pagina Configura trigger di avviso
    Campo
    Valore
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche alla tua policy di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per la policy di avviso.
  12. Fai clic su Crea policy.
Per saperne di più, consulta la Panoramica degli avvisi.

gcloud

Incolla la seguente policy in un file denominato ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea la policy di avviso con il seguente comando:

gcloud monitoring policies create --policy-from-file ca-expiration-policy.yaml

Dopo aver creato la policy di avviso, segui Gestire i canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a una policy di avviso esistente, segui Aggiornare i canali di notifica in una policy.

Elevata percentuale di errori di creazione dei certificati

Questa policy di avviso ti invia una notifica quando il rapporto tra gli errori di creazione dei certificati, dovuti a una policy CA o a un errore di convalida, supera una soglia di 0.2. Questa policy crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al Google Cloud progetto selezionato nel Google Cloud selettore di progetti della console. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

gcloud

Incolla la seguente policy in un file denominato cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea la policy di avviso con il seguente comando:

gcloud monitoring policies create --policy-from-file cert-create-failure.yaml

Dopo aver creato la policy di avviso, segui Gestire i canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a una policy di avviso esistente, segui Aggiornare i canali di notifica in una policy.

Che cosa prevede questa policy

Questa policy calcola il rapporto tra gli errori e le richieste totali. La policy attiva una notifica di avviso se il rapporto supera il 20% (ovvero il rapporto è maggiore di 0, 2) nel periodo di allineamento di 5 minuti.

Il filtro nella condizione seleziona il numero di errori di creazione dei certificati, che è il numeratore del rapporto. Il numeratore esegue l'aggregazione per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro del denominatore nella condizione seleziona il numero di richieste di creazione dei certificati.

Una volta raggiunta la soglia, la policy attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è di 0 secondi. Questa policy utilizza un conteggio dei trigger pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.

Monitoraggio delle metriche di tipo indicatore

Le metriche di tipo indicatore misurano un valore in un momento specifico. Ad esempio, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue sono metriche di tipo indicatore. Queste metriche utilizzano un valore booleano, mentre le etichette forniscono informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state utilizza un valore booleano per indicare se lo stato della CA è abilitato, ma utilizza un'etichetta, state, per lo stato effettivo della risorsa.

Quando monitori le metriche di tipo indicatore che utilizzano valori booleani, ti consigliamo di utilizzare l'aggregatore COUNT per creare soglie di avviso. L'aggregatore SUM somma solo i valori booleani, mentre l'aggregatore COUNT somma il numero di serie temporali. Ad esempio, se vuoi determinare il numero di CA nello stato DISABLED, devi creare un filtro per state=DISABLED. Utilizza l'aggregatore COUNT per determinare il numero di CA che soddisfano questa condizione.

Costo di Cloud Monitoring

Il monitoraggio di CA Service non prevede costi.

Passaggi successivi