Monitorar recursos usando o Cloud Monitoring

O Cloud Monitoring pode ser usado para monitorar operações realizadas em recursos no Certificate Authority Service.

Antes de começar

Configure um Google Cloud projeto com a API Certificate Authority Service ativada, caso ainda não tenha feito isso. Para mais informações, consulte Preparar seu ambiente.

Ver métricas no Cloud Monitoring

Console

Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:

  1. No console Google Cloud , acesse a página do  Metrics explorer:

    Acesse o Metrics Explorer

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Na barra de ferramentas do console Google Cloud , selecione seu projeto Google Cloud . Para configurações do App Hub, selecione o projeto host do App Hub ou o projeto de gerenciamento da pasta habilitada para apps.
  3. No elemento Metric , expanda o menu Selecionar uma métrica , digite Certificate Authority na barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:
    1. No menu Recursos ativos, selecione Autoridade certificadora.
    2. Para selecionar uma métrica, use os menus Categorias de métricas ativas e Métricas ativas. Para uma lista de métricas, consulte métricas privateca.
    3. Clique em Aplicar.

  4. Para adicionar filtros que removem séries temporais dos resultados da consulta, use o elemento Filtro.

  5. Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.

    Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.

  6. Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
    1. No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
    2. Defina o período como pelo menos uma semana.

Métricas do serviço de CA

A lista de métricas pode ser visualizada na documentação do Cloud Monitoring .

A documentação do recurso monitorado pode ser visualizada em Recursos monitorados.

Configurar alertas e monitoramento de cota

É possível configurar alertas e monitoramento de uso de cota usando o Cloud Monitoring.

Para mais informações sobre como configurar alertas e criar gráficos, consulte Configurar alertas e monitoramento de cota.

Use as instruções a seguir para ativar alertas recomendados.

Console

  1. Acesse a página de visão geral do serviço de CA no Google Cloud console.

    Certificate Authority Service

  2. No canto superior direito da página de visão geral, clique em + 5 alertas recomendados.

  3. Ative ou desative cada alerta, lendo a descrição dele.

    • Alguns alertas oferecem suporte a limites personalizados. Por exemplo, é possível especificar quando você quer receber um alerta para um certificado de CA expirado ou a taxa de erros para uma alta taxa de falhas na criação de certificados.
    • Todos os alertas oferecem suporte a canais de notificação.

  4. Clique em Enviar depois de ativar todos os alertas selecionados.

Criar uma política de alertas

Console

É possível criar políticas de alertas para monitorar os valores das métricas e receber notificações quando elas violarem uma condição.

  1. No console do Google Cloud , acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira Certificate Authority na barra de filtros. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Autoridade certificadora.
    3. Em Categoria de métrica, selecione Ca.
    4. Em Métrica, selecione uma métrica na lista de métricas privateca.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, confira Criar políticas de alertas com limites de métricas.
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte Visão geral sobre alertas.

Criar canal de notificação do Pub/Sub

Um canal de notificação que publica eventos no Pub/Sub pode ser configurado seguindo estas instruções.

Exemplos de políticas de alerta

É possível usar os exemplos de políticas de alerta a seguir para casos de uso comuns de monitoramento do serviço de CA.

Para saber mais sobre as políticas de alerta, consulte a documentação.

CA expirando em 30 dias

Essa política de alerta notifica você 30 dias antes da expiração de uma CA gerenciada. Essa política cria notificações de alerta para todas as CAs gerenciadas em todos os projetos cujas métricas estão visíveis para o Google Cloud projeto selecionado no Google Cloud seletor de projetos do console. Para mais informações sobre a visibilidade das métricas, consulte Noções básicas sobre o escopo das métricas.

Console

É possível criar políticas de alertas para monitorar os valores das métricas e receber notificações quando elas violarem uma condição.

  1. No console do Google Cloud , acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira Certificate Authority na barra de filtros. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Autoridade certificadora.
    3. Em Categoria de métrica, selecione Ca.
    4. Em Métrica, selecione ca/cert_expiration.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Preencha esta página com as configurações na tabela a seguir.
    Página Configurar acionador de alertas
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte Visão geral sobre alertas.

gcloud

Cole a política a seguir em um arquivo chamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crie a política de alerta com o seguinte comando:

gcloud monitoring policies create --policy-from-file ca-expiration-policy.yaml

Depois de criar a política de alerta, siga as instruções em Como gerenciar canais de notificação para criar ou atualizar canais de notificação atuais, se necessário. Para adicionar um canal de notificação a uma política de alerta atual, siga as instruções em Atualizar canais de notificação em uma política.

Alta taxa de falhas na criação de certificados

Essa política de alerta notifica você quando a proporção de falhas na criação de certificados, devido à política de CA ou falha de validação, excede um limite de 0.2. Essa política cria notificações de alerta para todas as CAs gerenciadas em todos os projetos cujas métricas estão visíveis para o Google Cloud projeto selecionado no Google Cloud seletor de projetos do console. Para mais informações sobre a visibilidade das métricas, consulte Noções básicas sobre o escopo das métricas.

gcloud

Cole a política a seguir em um arquivo chamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crie a política de alerta com o seguinte comando:

gcloud monitoring policies create --policy-from-file cert-create-failure.yaml

Depois de criar a política de alerta, siga as instruções em Como gerenciar canais de notificação para criar ou atualizar canais de notificação atuais, se necessário. Para adicionar um canal de notificação a uma política de alerta atual, siga as instruções em Atualizar canais de notificação em uma política.

O que esta política faz

Essa política calcula a proporção de falhas em relação ao total de solicitações. A política aciona uma notificação de alerta se a proporção exceder 20% (ou seja, a proporção for maior que 0,2) durante o período de alinhamento de cinco minutos.

O filtro na condição seleciona o número de falhas na criação de certificados, que é o numerador na proporção. O numerador agrega por projeto, local e ID do recurso de CA, já que essa métrica tem outros rótulos. O filtro do denominador na condição seleciona o número de solicitações de criação de certificados.

Quando o limite é atingido, a política aciona a notificação de alerta imediatamente, já que a duração permitida para a condição é de 0 segundo. Essa política usa uma contagem de acionadores de 1, que é o número de série temporal que precisam violar a condição para acionar a notificação de alerta.

Como monitorar métricas de medidor

As métricas de medidor medem um valor em um instante específico no tempo. Por exemplo, privateca.googleapis.com/ca/resource_state ou privateca.googleapis.com/kms/key_issue são métricas de medidor. Essas métricas usam um valor booleano, além de rótulos para fornecer mais informações. Por exemplo, privateca.googleapis.com/ca/resource_state usa um booleano para indicar se o estado da CA está ativado, mas usa um rótulo, state, para o estado real do recurso.

Ao monitorar métricas de medidor que usam valores booleanos, recomendamos usar o agregador COUNT para criar limites de alerta. O agregador SUM apenas soma os valores booleanos, enquanto o agregador COUNT soma o número de série temporal. Por exemplo, se você quiser determinar o número de CAs que estão no estado DISABLED, crie um filtro para state=DISABLED. Use o agregador COUNT para determinar o número de CAs que correspondem a essa condição.

Custo do Cloud Monitoring

Não há custo para monitorar o serviço de AC.

A seguir