מעקב אחר השימוש ב-EKM

אתם יכולים להשתמש ב-Cloud Monitoring כדי לעקוב אחרי החיבור שלכם למנהל מפתחות חיצוני (EKM). המדדים הבאים יכולים לעזור לכם להבין את השימוש ב-EKM:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

בדף הזה מוסבר איך ליצור לוח בקרה למעקב אחרי מדדים שקשורים למפתחות Cloud EKM ולחיבור של מנהל מפתחות חיצוני, כמו מספר הבקשות וההשהיות. מידע נוסף על המדדים האלה זמין במאמר בנושא מדדים של Cloud KMS. מידע נוסף על תהליך יצירת מרכז הבקרה שמתואר בקטעים הבאים זמין במאמר ניהול מרכזי בקרה באמצעות API.

לפני שמתחילים

ההנחיות בדף הזה מבוססות על ההנחות הבאות:

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות ליצירת לוחות בקרה באמצעות ה-CLI של gcloud, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות ליצירת לוחות בקרה באמצעות ה-CLI של gcloud. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי ליצור לוחות בקרה באמצעות ה-CLI של gcloud, צריך את ההרשאות הבאות:

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.update
  • serviceusage.services.use

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

יצירת לוח בקרה למעקב אחרי EKM

כדי לעקוב אחרי הסטטוס של EKM, יוצרים לוח בקרה למעקב אחרי מספר הבקשות וההשהיות:

  1. מורידים את ההגדרה של לוח הבקרה: ekm-dashboard.json.

  2. כדי ליצור לוח בקרה בהתאמה אישית באמצעות קובץ התצורה, מריצים את הפקודה הבאה:

    gcloud monitoring dashboards create \
--config-from-file=ekm-dashboard.json

צפייה במרכז הבקרה של EKM

  1. נכנסים לדף Monitoring במסוף Google Cloud , או לוחצים על הלחצן הבא:

    מעבר למעקב

  2. בוחרים באפשרות Resources > Dashboards (משאבים > מרכזי בקרה) וצופים בלוח הבקרה שנקרא Cloud KMS EKM.

יצירת מדיניות התראות למדדי EKM

מבצעים את השלבים הבאים באמצעות ה-CLI של gcloud:

  1. בוחרים ערוץ התראות לקבלת התראות על מדדי EKM.

    • כדי להשתמש בערוץ התראות קיים, קודם צריך להציג את הערוצים:

      gcloud beta monitoring channels list

      בוחרים ערוץ מהרשימה. חשוב לזכור את מזהה ערוץ ההתראות, כי תצטרכו להשתמש בו בהמשך.

    • כדי להשתמש בערוץ התראות חדש, יוצרים את הערוץ באמצעות כתובת אימייל:

      gcloud beta monitoring channels create \
--display-name="Notification channel for EKM latency alert" \
--description="This notification channel receives EKM latency metric alerts" \
--type=email \
--channel-labels=email_address=NOTIFICATION_EMAIL

      אם הפקודה מסתיימת בלי שגיאות, היא מחזירה את השם של הערוץ החדש. חשוב לשים לב למזהה של ערוץ ההתראות, כי תצטרכו אותו בהמשך. הפלט אמור להיראות כך:

      Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]

  2. יוצרים מדיניות התראות באמצעות הפקודה monitoring policies create:

        gcloud monitoring policies create \
        --notification-channels=NOTIFICATION_CHANNEL_ID \
        --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
        --condition-display-name="EKM Request Latency > 150ms" \
        --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                            metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                            metric.labels.ekm_service_region="LOCATION"
                            metric.labels.method="LABEL_METHOD"' \
        --duration="0s" \
        --if="> 150" \
        --display-name="EKM metric latency alert" \
        --trigger-count=1 \
        --combiner='AND'

    מחליפים את מה שכתוב בשדות הבאים:

    • NOTIFICATION_CHANNEL_ID: המזהה של ערוץ ההתראות.
    • LOCATION: האזור שעבורו רוצים להגדיר התראה על המדד הזה. אם רוצים לקבל התראה בלי קשר לאזור, משמיטים את metric.labels.ekm_service_region.
    • LABEL_METHOD: התווית method שרוצים לקבל עליה התראה – לדוגמה, wrap,‏ unwrap,‏ asymmetricSign,‏ checkCryptoSpacePermissions,‏ createKey,‏ getInfo או getPublicKey. אפשר להשתמש בMetrics Explorer כדי לבדוק את התוויות של המדדים.

המאמרים הבאים