Surveiller les ressources à l'aide de Cloud Monitoring

Cloud Monitoring peut être utilisé pour surveiller les opérations effectuées sur les ressources dans Certificate Authority Service.

Avant de commencer

Si vous ne l'avez pas déjà fait, configurez un projet Google Cloud pour lequel l'API Certificate Authority Service est activée. Pour en savoir plus, consultez Préparer votre environnement.

Afficher les métriques dans Cloud Monitoring

Console

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Explorateur de métriques :

    Accéder à l'explorateur de métriques

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Dans l'élément Métrique, développez le menu Sélectionner une métrique, saisissez Certificate Authority dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et des métriques spécifiques :
    1. Dans le menu Ressources actives, sélectionnez Autorité de certification.
    2. Pour sélectionner une métrique, utilisez les menus Catégories de métriques actives et Métriques actives. Pour obtenir la liste des métriques, consultez la section Métriques de confidentialité.
    3. Cliquez sur Appliquer.

  3. Pour supprimer des séries temporelles de l'affichage, utilisez l'élément Filtre.

  4. Pour combiner des séries temporelles, utilisez les menus de l'élément Agrégation. Par exemple, pour afficher l'utilisation du processeur pour vos VM en fonction de leur zone, définissez le premier menu sur Moyenne et le second sur zone.

    Toutes les séries temporelles sont affichées lorsque le premier menu de l'élément Agrégation est défini sur Non agrégé. Les paramètres par défaut de l'élément Aggregation (Agrégation) sont déterminés par le type de métrique que vous avez sélectionné.

  5. Pour le quota et les autres métriques qui indiquent un échantillon par jour, procédez comme suit :
    1. Dans le volet Affichage, définissez le type de widget sur Graphique à barres empilées.
    2. Définissez la période sur au moins une semaine.

Métriques du service CA

Vous pouvez consulter la liste des métriques dans la documentation de Cloud Monitoring.

La documentation sur les ressources surveillées est disponible dans Ressources surveillées.

Suivez les instructions ci-dessous pour activer les alertes recommandées.

Console

  1. Accédez à la page "Présentation du service de certification de confiance" de la console Google Cloud.

    Certificate Authority Service

  2. En haut à droite de la page "Vue d'ensemble", cliquez sur + 5 Alertes recommandées.

  3. Activez ou désactivez chaque alerte en lisant sa description.

    • Certaines alertes acceptent des seuils personnalisés. Par exemple, vous pouvez spécifier quand vous souhaitez être alerté d'un certificat d'autorité de certification qui expire ou du taux d'erreur en cas de taux élevé d'échecs de création de certificats.
    • Toutes les alertes sont compatibles avec les canaux de notification.

  4. Une fois toutes les alertes sélectionnées activées, cliquez sur Envoyer.

Créer une règle d'alerte

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Dans le champ Type de ressource, sélectionnez Autorité de certification.
    3. Pour Catégorie de métriques, sélectionnez Ca.
    4. Pour Métrique, sélectionnez une métrique dans la liste des métriques de confidentialité.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour plus d'informations, consultez la page Règles d'alerte.

Créer un canal de notification Pub/Sub

Pour configurer un canal de notification qui publie des événements dans Pub/Sub, suivez ces instructions.

Exemples de règles d'alerte

Vous pouvez utiliser les exemples de règles d'alerte suivants pour les cas d'utilisation courants de la surveillance du service CA.

Pour en savoir plus sur les règles d'alerte, consultez la documentation.

Autorité de certification qui expire dans 30 jours

Cette règle d'alerte vous avertit 30 jours avant l'expiration d'une autorité de certification gérée. Cette règle crée des notifications d'alerte pour toutes les autorités de certification gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le sélecteur de projet de la console Google Cloud. Pour en savoir plus sur la visibilité des métriques, consultez la section Comprendre le champ d'application des métriques.

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Dans le champ Type de ressource, sélectionnez Autorité de certification.
    3. Pour Catégorie de métriques, sélectionnez Ca.
    4. Dans Métrique, sélectionnez ca/cert_expiration.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Renseignez cette page avec les paramètres du tableau suivant.
    Champ de la page
    Configurer le déclencheur d'alerte
    Valeur
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour en savoir plus, consultez la page Règles d'alerte.

gcloud

Collez la stratégie suivante dans un fichier nommé ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Créez la règle d'alerte à l'aide de la commande suivante:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Après avoir créé la règle d'alerte, suivez la section Gérer les canaux de notification pour créer ou mettre à jour des canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, consultez la section Mettre à jour les canaux de notification d'une règle.

Taux élevé d'échecs de création de certificats

Cette règle d'alerte vous avertit lorsque le ratio d'échecs de création de certificats, en raison d'une règle de l'autorité de certification ou d'un échec de validation, dépasse un seuil de 0.2. Cette règle crée des notifications d'alerte pour toutes les autorités de certification gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le sélecteur de projet de la console Google Cloud. Pour en savoir plus sur la visibilité des métriques, consultez la section Comprendre le champ d'application des métriques.

gcloud

Collez la stratégie suivante dans un fichier nommé cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Créez la règle d'alerte à l'aide de la commande suivante:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Après avoir créé la règle d'alerte, suivez la procédure Gérer les canaux de notification pour créer ou mettre à jour des canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, consultez la section Mettre à jour les canaux de notification d'une règle.

En quoi consiste cette règle ?

Cette règle calcule le ratio entre le nombre d'échecs et le nombre total de requêtes. Elle déclenche une notification d'alerte si le ratio dépasse 20% (c'est-à-dire, s'il est supérieur à 0,2) pendant la période d'alignement de cinq minutes.

Le filtre de la condition sélectionne le nombre d'échecs de création de certificats, qui est le numérateur du ratio. Le dénominateur est agrégé par projet, emplacement et ID de ressource d'autorité de certification, car cette métrique comporte des libellés supplémentaires. Le filtre du dénominateur dans la condition sélectionne le nombre de requêtes de création de certificat.

Une fois le seuil atteint, la règle déclenche immédiatement la notification d'alerte, car la durée autorisée pour la condition est de zéro seconde. Cette règle utilise un déclencheur défini sur 1, ce qui correspond au nombre de séries temporelles qui doivent enfreindre la condition pour que la notification d'alerte soit déclenchée.

Surveiller les métriques de jauge

Les métriques de jauge mesurent une valeur à un instant donné. Par exemple, privateca.googleapis.com/ca/resource_state ou privateca.googleapis.com/kms/key_issue sont des métriques de jauge. Ces métriques utilisent une valeur booléenne, tout en utilisant des libellés pour fournir des informations supplémentaires. Par exemple, privateca.googleapis.com/ca/resource_state utilise une valeur booléenne pour indiquer si l'état de l'autorité de certification est activé, mais utilise un libellé, state, pour l'état réel de la ressource.

Lorsque vous surveillez des métriques de jauge qui utilisent des valeurs booléennes, nous vous recommandons d'utiliser l'agrégateur COUNT pour créer des seuils d'alerte. L'agrégateur SUM ne somme que les valeurs booléennes, tandis que l'agrégateur COUNT somme le nombre de séries temporelles. Par exemple, si vous souhaitez déterminer le nombre d'autorités de certification qui se trouvent dans l'état DISABLED, vous devez créer un filtre pour state=DISABLED. Utilisez l'agrégateur COUNT pour déterminer le nombre d'autorités de certification qui répondent à cette condition.

Coût de Cloud Monitoring

La surveillance du service de certification n'entraîne aucuns frais.

Étape suivante