Monitorizar recursos con Cloud Monitoring

Cloud Monitoring se puede usar para monitorizar las operaciones realizadas en recursos del servicio de autoridades de certificación.

Antes de empezar

Si aún no lo has hecho, configura un proyecto que tenga habilitada la API Certificate Authority Service. Google Cloud Para obtener más información, consulta el artículo Preparar el entorno.

Ver métricas en Cloud Monitoring

Consola

Para ver las métricas de un recurso monitorizado con el explorador de métricas, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página  Explorador de métricas:

    Ve al explorador de métricas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. En la barra de herramientas de la Google Cloud consola, selecciona tu Google Cloud proyecto. En las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de gestión de la carpeta habilitada para aplicaciones.
  3. En el elemento Métrica, despliega el menú Seleccionar una métrica, introduce Certificate Authority en la barra de filtros y, a continuación, usa los submenús para seleccionar un tipo de recurso y una métrica específicos:
    1. En el menú Recursos activos, selecciona Autoridad de certificación.
    2. Para seleccionar una métrica, usa los menús Categorías de métricas activas y Métricas activas. Para ver una lista de métricas, consulta Métricas de privateca.
    3. Haz clic en Aplicar.

  4. Para añadir filtros que eliminen series temporales de los resultados de la consulta, usa el elemento Filter.

  5. Para combinar series temporales, usa los menús del elemento "Agregación". Por ejemplo, para mostrar el uso de la CPU de tus VMs en función de su zona, define el primer menú como Media y el segundo como zona.

    Todas las series temporales se muestran cuando el primer menú del elemento Agregación se define como Sin agregar. Los ajustes predeterminados del elemento Agregación se determinan en función del tipo de métrica que hayas seleccionado.

  6. En el caso de las cuotas y otras métricas que registran una muestra al día, haga lo siguiente:
    1. En el panel Visualización, defina el Tipo de widget como Gráfico de barras apiladas.
    2. Define el periodo en al menos una semana.

Métricas del Servicio de Autoridades de Certificación

Puedes consultar la lista de métricas en la documentación de Cloud Monitoring.

La documentación de los recursos monitorizados se puede consultar en Recursos monitorizados.

Configurar alertas y monitorización de cuotas

Puedes configurar alertas y monitorizar el uso de cuotas con Cloud Monitoring.

Para obtener más información sobre cómo configurar alertas y crear gráficos, consulta el artículo Configurar alertas y monitorización de cuota.

Sigue estas instrucciones para habilitar las alertas recomendadas.

Consola

  1. Ve a la página Resumen del servicio de CA en la Google Cloud consola.

    Servicio de Autoridades de Certificación

  2. En la parte superior derecha de la página Resumen, haz clic en + 5 alertas recomendadas.

  3. Habilita o inhabilita cada alerta y lee su descripción.

    • Algunas alertas admiten umbrales personalizados. Por ejemplo, puede especificar cuándo quiere que se le avise si un certificado de CA va a caducar o la tasa de errores si se produce un alto número de fallos en la creación de certificados.
    • Todas las alertas admiten canales de notificaciones.

  4. Haz clic en Enviar cuando hayas habilitado todas las alertas seleccionadas.

Crear una política de alertas

Consola

Puedes crear políticas de alertas para monitorizar los valores de las métricas y recibir notificaciones cuando esas métricas incumplan una condición.

  1. En la Google Cloud consola, ve a la página  Alertas:

    Ve a Alertas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Si no has creado tus canales de notificación y quieres recibir notificaciones, haz clic en Editar canales de notificación y añade tus canales de notificación. Vuelve a la página Alertas después de añadir tus canales.
  3. En la página Alertas, selecciona Crear política.
  4. Para seleccionar la métrica, despliega el menú Seleccionar una métrica y, a continuación, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, introduce Certificate Authority en la barra de filtro. Si no hay resultados después de filtrar el menú, desactive el interruptor Mostrar solo recursos y métricas activos.
    2. En Tipo de recurso, selecciona Autoridad de certificación.
    3. En Categoría de métrica, selecciona Ca.
    4. En Métrica, seleccione una métrica de la lista de métricas de privateca.
    5. Selecciona Aplicar.
  5. Haz clic en Siguiente.
  6. Los ajustes de la página Configurar activador de alerta determinan cuándo se activa la alerta. Seleccione un tipo de condición y, si es necesario, especifique un umbral. Para obtener más información, consulta el artículo Crear políticas de alertas de umbral de métricas.
  7. Haz clic en Siguiente.
  8. Opcional: Para añadir notificaciones a tu política de alertas, haz clic en Canales de notificación. En el cuadro de diálogo, selecciona uno o más canales de notificación y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la duración del cierre automático de incidentes. Este campo determina cuándo cierra Monitoring los incidentes si no hay datos de métricas.
  10. Opcional: Haz clic en Documentación y añade la información que quieras incluir en las notificaciones.
  11. Haz clic en Nombre de la alerta y escribe el que quieras asignar a la política de alertas.
  12. Haz clic enCreate Policy (Crear política).
Para obtener más información, consulta el resumen de alertas.

Crear un canal de notificaciones de Pub/Sub

Para configurar un canal de notificaciones que publique eventos en Pub/Sub, sigue estas instrucciones.

Políticas de alertas de ejemplo

Puedes usar las siguientes políticas de alertas de ejemplo para casos prácticos habituales de monitorización de servicios de autoridad de certificación.

Para obtener más información sobre las políticas de alertas, consulta la documentación.

La CA caduca en 30 días

Esta política de alertas te avisa 30 días antes de que caduque una CA gestionada. Esta política crea notificaciones de alerta para todas las autoridades de certificación gestionadas de todos los proyectos cuyas métricas sean visibles para el Google Cloud proyecto seleccionado en elGoogle Cloud selector de proyectos de la consola. Para obtener información sobre la visibilidad de las métricas, consulta Información sobre el ámbito de las métricas.

Consola

Puedes crear políticas de alertas para monitorizar los valores de las métricas y recibir notificaciones cuando esas métricas incumplan una condición.

  1. En la Google Cloud consola, ve a la página  Alertas:

    Ve a Alertas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Si no has creado tus canales de notificación y quieres recibir notificaciones, haz clic en Editar canales de notificación y añade tus canales de notificación. Vuelve a la página Alertas después de añadir tus canales.
  3. En la página Alertas, selecciona Crear política.
  4. Para seleccionar la métrica, despliega el menú Seleccionar una métrica y, a continuación, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, introduce Certificate Authority en la barra de filtro. Si no hay resultados después de filtrar el menú, desactive el interruptor Mostrar solo recursos y métricas activos.
    2. En Tipo de recurso, selecciona Autoridad de certificación.
    3. En Categoría de métrica, selecciona Ca.
    4. En Métrica, seleccione ca/cert_expiration.
    5. Selecciona Aplicar.
  5. Haz clic en Siguiente.
  6. Los ajustes de la página Configurar activador de alerta determinan cuándo se activa la alerta. Completa esta página con los ajustes de la siguiente tabla.
    Página Configurar activador de alerta
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Haz clic en Siguiente.
  8. Opcional: Para añadir notificaciones a tu política de alertas, haz clic en Canales de notificación. En el cuadro de diálogo, selecciona uno o más canales de notificación y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la duración del cierre automático de incidentes. Este campo determina cuándo cierra Monitoring los incidentes si no hay datos de métricas.
  10. Opcional: Haz clic en Documentación y añade la información que quieras incluir en las notificaciones.
  11. Haz clic en Nombre de la alerta y escribe el que quieras asignar a la política de alertas.
  12. Haz clic enCreate Policy (Crear política).
Para obtener más información, consulta el resumen de alertas.

gcloud

Pega la siguiente política en un archivo llamado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Después de crear la política de alertas, consulta el artículo Gestionar canales de notificación para crear o actualizar canales de notificación, si es necesario. Para añadir un canal de notificación a una política de alertas, consulta el artículo Actualizar canales de notificación en una política.

Tasa alta de errores de creación de certificados

Esta política de alertas te avisa cuando la proporción de errores de creación de certificados, ya sea por la política de la autoridad de certificación o por un error de validación, supera el umbral de 0.2. Esta política crea notificaciones de alerta para todas las autoridades de certificación gestionadas de todos los proyectos cuyas métricas sean visibles para el Google Cloud proyecto seleccionado en elGoogle Cloud selector de proyectos de la consola. Para obtener información sobre la visibilidad de las métricas, consulta Información sobre el ámbito de las métricas.

.

gcloud

Pega la siguiente política en un archivo llamado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea la política de alertas con el siguiente comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Después de crear la política de alertas, consulta el artículo Gestionar canales de notificación para crear o actualizar canales de notificación, si es necesario. Para añadir un canal de notificación a una política de alertas, consulta el artículo Actualizar canales de notificación en una política.

Qué hace esta política

Esta política calcula la proporción de errores respecto al total de solicitudes. La política activa una notificación de alerta si la proporción supera el 20% (es decir, si es superior a 0,2) durante el periodo de alineación de 5 minutos.

El filtro de la condición selecciona el número de errores de creación de certificados, que es el numerador de la proporción. El numerador se agrega por proyecto, ubicación e ID de recurso de CA, ya que esta métrica tiene etiquetas adicionales. El filtro de denominador de la condición selecciona el número de solicitudes de creación de certificados.

Una vez que se alcanza el umbral, la política activa la notificación de alerta inmediatamente, ya que la duración permitida de la condición es de 0 segundos. Esta política usa un recuento de activadores de 1, que es el número de series temporales que deben incumplir la condición para activar la notificación de alerta.

Monitorizar métricas de tipo Gauge

Las métricas de tipo Gauge miden un valor en un momento concreto. Por ejemplo, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue son métricas de tipo Gauge. Estas métricas usan un valor booleano, mientras que las etiquetas proporcionan información adicional. Por ejemplo, privateca.googleapis.com/ca/resource_state usa un valor booleano para indicar si el estado de la AC está habilitado, pero usa una etiqueta, state, para el estado del recurso.

Cuando monitorices métricas de tipo Gauge que usen valores booleanos, te recomendamos que uses el agregador COUNT para crear umbrales de alerta. El agregador SUM solo suma los valores booleanos, mientras que el agregador COUNT suma el número de series temporales. Por ejemplo, si quieres determinar el número de CAs que están en el estado DISABLED, debes crear un filtro para state=DISABLED. Usa el agregador COUNT para determinar el número de CAs que cumplen esta condición.

Coste de Cloud Monitoring

No se cobra por monitorizar el servicio de AC.

Siguientes pasos