איך עוקבים אחרי משאבים באמצעות Cloud Monitoring

אפשר להשתמש ב-Cloud Monitoring כדי לעקוב אחרי פעולות שבוצעו במשאבים ב-Certificate Authority Service.

לפני שמתחילים

אם עדיין לא עשיתם זאת, הגדירו Google Cloud פרויקט שמופעל בו Certificate Authority Service API. מידע נוסף מופיע במאמר בנושא הכנת הסביבה.

הצגת מדדים ב-Cloud Monitoring

המסוף

כדי לראות את המדדים של משאבים שבמעקב באמצעות Metrics Explorer:

  1. נכנסים לדף  Metrics explorer במסוף Google Cloud :

    כניסה אל Metrics Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. בסרגל הכלים של מסוף Google Cloud , בוחרים את Google Cloud הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח של מרכז האפליקציות או את פרויקט הניהול של התיקייה לניהול אפליקציות.
  3. ברכיב Metric, מרחיבים את התפריט Select a metric, כותבים Certificate Authority בשורת הסינון ומשתמשים בתפריטי המשנה כדי לבחור סוג ספציפי של משאב ומדד:
    1. בתפריט Active resources בוחרים באפשרות Certificate Authority.
    2. כדי לבחור מדד, משתמשים בתפריטים Active metric categories ו-Active metrics. רשימת המדדים זמינה במאמר בנושא מדדים של privateca.
    3. לוחצים על אישור.

  4. כדי להוסיף מסננים שמסירים סדרות זמן מתוצאות השאילתה, משתמשים ברכיב Filter.

  5. כדי לשלב סדרות עיתיות, משתמשים בתפריטים ברכיב Aggregation. לדוגמה, כדי להציג את ניצול המעבד של המכונות הווירטואליות לפי האזור שלהן, מגדירים את התפריט הראשון ל-Mean ואת התפריט השני ל-zone.

    כל סדרות הזמן מוצגות כשהתפריט הראשון של רכיב הצבירה מוגדר לללא צבירה. הגדרות ברירת המחדל של הרכיב צבירה נקבעות לפי סוג המדד שבחרתם.

  6. כדי לראות מכסות ומדדים אחרים שמדווחים על דגימה אחת ליום:
    1. בחלונית Display, מגדירים את Widget type לאפשרות תרשים עמודות אופקי מוערם.
    2. מגדירים את התקופה לשבוע אחד לפחות.

מדדים של שירות CA

רשימת המדדים זמינה במסמכי העזר של Cloud Monitoring.

אפשר לראות את המסמכים של המשאבים במעקב במשאבים במעקב.

הגדרת התראות ומעקב לגבי מכסות

אפשר להגדיר התראות על שימוש במכסה ומעקב באמצעות Cloud Monitoring.

מידע נוסף על הגדרת התראות ויצירת תרשימים זמין במאמר הגדרת התראות ומעקב אחר מכסות.

כדי להפעיל את ההתראות המומלצות:

המסוף

  1. עוברים לדף CA Service Overview במסוף Google Cloud .

    Certificate Authority Service

  2. בפינה השמאלית העליונה של הדף 'סקירה כללית', לוחצים על + 5 התראות מומלצות.

  3. מפעילים או משביתים כל התראה וקוראים את התיאור שלה.

    • חלק מההתראות תומכות בספי התראה בהתאמה אישית. לדוגמה, אתם יכולים לציין מתי אתם רוצים לקבל התראה על אישור CA שעומד לפוג, או את שיעור השגיאות במקרה של שיעור גבוה של כשלים ביצירת אישורים.
    • כל ההתראות תומכות בערוצי התראות.

  4. אחרי שמפעילים את כל ההתראות שנבחרו, לוחצים על שליחה.

יצירת מדיניות התראות

המסוף

אתם יכולים ליצור מדיניות התראות כדי לעקוב אחרי ערכי המדדים ולקבל התראה כשהמדדים האלה לא עומדים בתנאי מסוים.

  1. נכנסים לדף  Alerting במסוף Google Cloud :

    כניסה אל התראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. אם לא יצרתם ערוצי התראות ואתם רוצים לקבל התראות, לוחצים על Edit Notification Channels (עריכת ערוצי התראות) ומוסיפים את ערוצי ההתראות. אחרי שמוסיפים את הערוצים, חוזרים לדף התראות.
  3. בדף Alerting, בוחרים באפשרות Create policy.
  4. כדי לבחור את המדד, מרחיבים את התפריט Select a metric ומבצעים את הפעולות הבאות:
    1. כדי להגביל את התפריט לרשומות רלוונטיות, מזינים Certificate Authority בסרגל הסינון. אם לא מוצאים תוצאות אחרי סינון התפריט, משביתים את המתג Show only active resources & metrics.
    2. בשדה Resource type, בוחרים באפשרות Certificate Authority.
    3. בקטע קטגוריית מדד, בוחרים באפשרות Ca.
    4. בקטע מדד, בוחרים מדד מתוך רשימת המדדים של privateca.
    5. לוחצים על אישור.
  5. לוחצים על הבא.
  6. ההגדרות בדף Configure alert trigger קובעות מתי ההתראה תופעל. בוחרים סוג תנאי, ואם צריך, מציינים סף. מידע נוסף זמין במאמר יצירת מדיניות התראות על סמך סף מדד.
  7. לוחצים על הבא.
  8. אופציונלי: כדי להוסיף התראות למדיניות ההתראות, לוחצים על ערוצי התראות. בתיבת הדו-שיח, בוחרים ערוץ או יותר של הודעות מהתפריט ולוחצים על אישור.
  9. אופציונלי: מעדכנים את משך הזמן עד לסגירה אוטומטית של אירוע. השדה הזה קובע מתי מערכת Monitoring סוגרת אירועים בהיעדר נתוני מדדים.
  10. אופציונלי: לוחצים על תיעוד, ואז מוסיפים את המידע שרוצים לכלול בהודעת ההתראה.
  11. לוחצים על שם ההתראה ומזינים שם למדיניות ההתראה.
  12. לוחצים על יצירת מדיניות.
מידע נוסף זמין במאמר סקירה כללית על התראות.

יצירת ערוץ התראות Pub/Sub

כדי להגדיר ערוץ התראות שמפרסם אירועים ב-Pub/Sub, אפשר לפעול לפי ההוראות האלה.

דוגמאות לכללי מדיניות בנושא התראות

אפשר להשתמש במדיניות ההתראות לדוגמה הבאה לתרחישי שימוש נפוצים בניטור של שירות CA.

מידע נוסף על מדיניות התראות זמין במאמרי העזרה.

תוקף אישור ה-CA יפוג בעוד 30 יום

מדיניות ההתראות הזו מודיעה לכם 30 יום לפני שתוקף של רשות אישורים מנוהלת יפוג. המדיניות הזו יוצרת התראות לכל רשויות האישורים המנוהלות בכל הפרויקטים שהמדדים שלהם גלויים לפרויקט שנבחר בכלי לבחירת פרויקטים במסוף Google Cloud Google Cloud . מידע על חשיפת המדדים זמין במאמר הסבר על היקף המדדים.

המסוף

אתם יכולים ליצור מדיניות התראות כדי לעקוב אחרי ערכי המדדים ולקבל התראה כשהמדדים האלה לא עומדים בתנאי מסוים.

  1. נכנסים לדף  Alerting במסוף Google Cloud :

    כניסה אל התראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. אם לא יצרתם ערוצי התראות ואתם רוצים לקבל התראות, לוחצים על Edit Notification Channels (עריכת ערוצי התראות) ומוסיפים את ערוצי ההתראות. אחרי שמוסיפים את הערוצים, חוזרים לדף התראות.
  3. בדף Alerting, בוחרים באפשרות Create policy.
  4. כדי לבחור את המדד, מרחיבים את התפריט Select a metric ומבצעים את הפעולות הבאות:
    1. כדי להגביל את התפריט לרשומות רלוונטיות, מזינים Certificate Authority בסרגל הסינון. אם לא מוצאים תוצאות אחרי סינון התפריט, משביתים את המתג Show only active resources & metrics.
    2. בשדה Resource type, בוחרים באפשרות Certificate Authority.
    3. בקטע קטגוריית מדד, בוחרים באפשרות Ca.
    4. בקטע מדד, בוחרים באפשרות ca/cert_expiration.
    5. לוחצים על אישור.
  5. לוחצים על הבא.
  6. ההגדרות בדף Configure alert trigger קובעות מתי ההתראה תופעל. משלימים את ההגדרות בדף הזה לפי הטבלה הבאה.
    הגדרת טריגר להתראה דף
    שדה
    ערך
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. לוחצים על הבא.
  8. אופציונלי: כדי להוסיף התראות למדיניות ההתראות, לוחצים על ערוצי התראות. בתיבת הדו-שיח, בוחרים ערוץ או יותר של הודעות מהתפריט ולוחצים על אישור.
  9. אופציונלי: מעדכנים את משך הזמן עד לסגירה אוטומטית של אירוע. השדה הזה קובע מתי מערכת Monitoring סוגרת אירועים בהיעדר נתוני מדדים.
  10. אופציונלי: לוחצים על תיעוד, ואז מוסיפים את המידע שרוצים לכלול בהודעת ההתראה.
  11. לוחצים על שם ההתראה ומזינים שם למדיניות ההתראה.
  12. לוחצים על יצירת מדיניות.
מידע נוסף זמין במאמר סקירה כללית על התראות.

gcloud

מדביקים את המדיניות הבאה בקובץ בשם ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

יוצרים את מדיניות ההתראות באמצעות הפקודה הבאה:

gcloud monitoring policies create --policy-from-file ca-expiration-policy.yaml

אחרי שיוצרים את מדיניות ההתראות, פועלים לפי ההוראות במאמר ניהול ערוצי התראות כדי ליצור או לעדכן ערוצי התראות קיימים, אם צריך. כדי להוסיף ערוץ התראות למדיניות התראות קיימת, פועלים לפי ההוראות במאמר עדכון ערוצי התראות במדיניות.

שיעור גבוה של כשלים ביצירת אישורים

מדיניות ההתראה הזו מודיעה לכם כשהיחס בין כשלים ביצירת אישורים, בגלל מדיניות של רשות אישורים או כשל באימות, חורג מסף של 0.2. המדיניות הזו יוצרת התראות לכל רשויות האישורים המנוהלות בכל הפרויקטים שהמדדים שלהם גלויים לפרויקט שנבחר בכלי לבחירת פרויקטים במסוף Google Cloud Google Cloud . מידע על חשיפת המדדים זמין במאמר הסבר על היקף המדדים.

gcloud

מדביקים את המדיניות הבאה בקובץ בשם cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

יוצרים את מדיניות ההתראות באמצעות הפקודה הבאה:

gcloud monitoring policies create --policy-from-file cert-create-failure.yaml

אחרי שיוצרים את מדיניות ההתראות, פועלים לפי ההוראות במאמר ניהול ערוצי התראות כדי ליצור או לעדכן ערוצי התראות קיימים, אם צריך. כדי להוסיף ערוץ התראות למדיניות התראות קיימת, פועלים לפי ההוראות במאמר עדכון ערוצי התראות במדיניות.

מה המשמעות של המדיניות הזו

המדיניות הזו מחשבת את היחס בין מספר הכשלים לבין סך הבקשות. המדיניות מפעילה התראה אם היחס עולה על 20% (כלומר, היחס גבוה מ-0.2) במהלך תקופת ההתאמה של 5 דקות.

המסנן בתנאי בוחר את מספר הכשלים ביצירת האישור, שהוא המונה ביחס. המונה מצטבר לפי פרויקט, מיקום ומזהה משאב CA, כי למדד הזה יש תוויות נוספות. מסנן המכנה בתנאי בוחר את מספר הבקשות ליצירת אישורים.

ברגע שהסף מושג, המדיניות מפעילה את התראת ההתראה באופן מיידי, כי משך הזמן המותר לתנאי הוא 0 שניות. במדיניות הזו נעשה שימוש בספירת טריגר של 1, שזה מספר סדרות הזמן שצריך להפר את התנאי כדי להפעיל את התראת ההתראה.

מעקב אחרי מדדים של מדדי ביצועים

מדדי מדד מודדים ערך ברגע מסוים בזמן. לדוגמה, privateca.googleapis.com/ca/resource_state או privateca.googleapis.com/kms/key_issue הם מדדים של מד. המדדים האלה משתמשים בערך בוליאני, ומשתמשים בתוויות כדי לספק מידע נוסף. לדוגמה, privateca.googleapis.com/ca/resource_state משתמש בערך בוליאני כדי לציין אם מצב הרשות לאישור מופעל, אבל משתמש בתווית, state, כדי לציין את המצב בפועל של המשאב.

כשעוקבים אחרי מדדים מסוג gauge שמשתמשים בערכים בוליאניים, מומלץ להשתמש באגרגטור COUNT כדי ליצור ספי התראה. הפונקציה SUM מסכמת רק את הערכים הבוליאניים, ואילו הפונקציה COUNT מסכמת את מספר סדרות הזמן. לדוגמה, אם רוצים לדעת כמה רשויות אישורים נמצאות במצב DISABLED, צריך ליצור מסנן עבור state=DISABLED. משתמשים בפונקציית הצבירה COUNT כדי לקבוע את מספר הרשויות המנפיקות שמתאימות לתנאי הזה.

עלות של Cloud Monitoring

המעקב אחרי שירות CA לא כרוך בתשלום.

המאמרים הבאים