Supervisa recursos con Cloud Monitoring

Cloud Monitoring se puede usar para supervisar operaciones realizadas en los recursos de Certificate Authority Service.

Antes de comenzar

Configura un proyecto que tenga la API de Certificate Authority Service habilitada, si aún no lo hiciste, Google Cloud . Para obtener información, consulta Prepara tu entorno.

Visualiza métricas en Cloud Monitoring

Consola

Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:

  1. En la Google Cloud consola de, accede a la  Explorador de métricas página:

    Acceder al Explorador de métricas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. En la barra de herramientas de la Google Cloud consola de, elige tu Google Cloud proyecto. Para las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de administración de la carpeta habilitada para apps.
  3. En el elemento Métrica, expande el menú Seleccionar una métrica, ingresa Certificate Authority en la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:
    1. En el menú Recursos activos, selecciona Certificate Authority.
    2. Para seleccionar una métrica, usa los menús Categorías de métricas activas y Métricas activas. Para obtener una lista de métricas, consulta métricas de privateca.
    3. Haz clic en Aplicar.

  4. Para agregar filtros, que quitan series temporales de los resultados de la consulta, usa el Filtro elemento.

  5. Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.

    Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.

  6. Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
    1. En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
    2. Establece el período en al menos una semana.

Métricas del Servicio de CA

La lista de métricas se puede ver en la documentación de Cloud Monitoring .

La documentación de recurso supervisado se puede ver en Recursos supervisados.

Configura alertas y supervisión de cuota

Puedes configurar alertas y supervisión de uso de cuota con Cloud Monitoring.

Para obtener más información sobre cómo configurar alertas y crear gráficos, consulta Configura alertas y supervisión de cuota.

Usa las siguientes instrucciones para habilitar las alertas recomendadas.

Consola

  1. Ve a la página Resumen del Servicio de CA en la Google Cloud consola de.

    Certificate Authority Service

  2. En la parte superior derecha de la página Resumen, haz clic en + 5 Alertas recomendadas.

  3. Habilita o inhabilita cada alerta y lee su descripción.

    • Algunas alertas admiten umbrales personalizados. Por ejemplo, puedes especificar cuándo deseas recibir una alerta por un certificado de la AC que vence o la tasa de errores por una tasa alta de fallas en la creación de certificados.
    • Todas las alertas admiten canales de notificaciones.

  4. Haz clic en Enviar una vez que hayas habilitado todas las alertas seleccionadas.

Crea una política de alertas

Consola

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud , ve a la página Alertas :

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el Show only active resources & metrics botón de activación.
    2. En Tipo de recurso, selecciona Certificate Authority.
    3. En Categoría de métrica, selecciona Ca.
    4. En Métrica, elige una métrica de la lista de métricas de privateca.
    5. Selecciona Apply (Aplicar).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Selecciona un tipo de condición y, si es necesario, especifica un umbral. Para obtener más información, consulta Crea políticas de alertas de límite de métrica.
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Descripción general de alertas.

Crea un canal de notificaciones de Pub/Sub

Para configurar un canal de notificaciones que publique eventos en Pub/Sub, sigue estas instrucciones.

Políticas de alertas de muestra

Puedes usar las siguientes políticas de alertas de muestra para casos de uso comunes de supervisión del Servicio de CA.

Para obtener más información sobre las políticas de alertas, consulta la documentación.

CA que vence en 30 días

Esta política de alertas te notifica 30 días antes de que venza una CA administrada. Esta política crea notificaciones de alertas para todas las CAs administradas en todos los proyectos cuyas métricas sean visibles para el Google Cloud proyecto seleccionado en el Google Cloud selector de proyectos de la consola. Para obtener información sobre la visibilidad de las métricas, consulta Comprende el alcance de las métricas.

Consola

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud , ve a la página Alertas :

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa Certificate Authority en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el Show only active resources & metrics botón de activación.
    2. En Tipo de recurso, selecciona Certificate Authority.
    3. En Categoría de métrica, selecciona Ca.
    4. En Métrica, selecciona ca/cert_expiration.
    5. Selecciona Apply (Aplicar).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Completa esta página con la configuración de la siguiente tabla.
    Página Configurar activador de alertas
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Descripción general de alertas.

gcloud

Pega la siguiente política en un archivo llamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea la política de alertas con el siguiente comando:

gcloud monitoring policies create --policy-from-file ca-expiration-policy.yaml

Después de crear la política de alertas, sigue Administra los canales de notificación para crear o actualizar los canales de notificación existentes, si es necesario. Para agregar un canal de notificación a una política de alertas existente, sigue Actualiza los canales de notificación en una política.

Tasa alta de fallas en la creación de certificados

Esta política de alertas te notifica cuando la proporción de fallas en la creación de certificados, debido a la política de la CA o a una falla de validación, supera un umbral de 0.2. Esta política crea notificaciones de alertas para todas las CAs administradas en todos los proyectos cuyas métricas sean visibles para el Google Cloud proyecto seleccionado en el Google Cloud selector de proyectos de la consola. Para obtener información sobre la visibilidad de las métricas, consulta Comprende el alcance de las métricas.

gcloud

Pega la siguiente política en un archivo llamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea la política de alertas con el siguiente comando:

gcloud monitoring policies create --policy-from-file cert-create-failure.yaml

Después de crear la política de alertas, sigue Administra los canales de notificación para crear o actualizar los canales de notificación existentes, si es necesario. Para agregar un canal de notificación a una política de alertas existente, sigue Actualiza los canales de notificación en una política.

¿Qué hace esta política?

Esta política calcula la proporción de fallas con el total de solicitudes. La política activa una notificación de alerta si la proporción supera el 20% (es decir, la proporción es superior a 0.2) durante el período de alineación de 5 minutos.

El filtro de la condición selecciona la cantidad de fallas en la creación de certificados, que es el numerador de la proporción. El numerador se agrega por proyecto, ubicación y ID de recurso de CA, ya que esta métrica tiene etiquetas adicionales. El filtro del denominador en la condición selecciona la cantidad de solicitudes de creación de certificados.

Una vez que se alcanza el umbral, la política activa la notificación de alerta de inmediato, ya que la duración permitida para la condición es de 0 segundos. Esta política usa un recuento de activación de 1, que es la cantidad de series temporales que deben infringir la condición para que se active la notificación de alerta.

Supervisa las métricas de indicador

Las métricas de indicador miden un valor en un instante específico en el tiempo. Por ejemplo, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue son métricas de indicador. Estas métricas usan un valor booleano, mientras que usan etiquetas para proporcionar información adicional. Por ejemplo, privateca.googleapis.com/ca/resource_state usa un valor booleano para determinar si el estado de la CA está habilitado, pero usa una etiqueta, state, para el estado real del recurso.

Cuando supervises métricas de indicador que usan valores booleanos, te recomendamos que uses el agregador COUNT para compilar umbrales de alertas. El agregador SUM solo suma los valores booleanos, mientras que el agregador COUNT suma la cantidad de series temporales. Por ejemplo, si deseas determinar la cantidad de CAs que están en el estado DISABLED, debes crear un filtro para state=DISABLED. Usa el agregador COUNT para determinar la cantidad de CAs que coinciden con esta condición.

Costo de Cloud Monitoring

La supervisión del Servicio de CA no tiene costo.

¿Qué sigue?