Surveiller les ressources à l'aide de Cloud Monitoring

Cloud Monitoring peut être utilisé pour surveiller les opérations effectuées sur les ressources dans Certificate Authority Service.

Avant de commencer

Si vous ne l'avez pas déjà fait, configurez un projet Google Cloud pour lequel l'API Certificate Authority Service est activée. Pour en savoir plus, consultez Préparer votre environnement.

Afficher les métriques dans Cloud Monitoring

Console

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page  Explorateur de métriques :

    Accéder à l'explorateur de métriques

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet Google Cloud . Pour les configurations App Hub, sélectionnez le projet hôte App Hub ou le projet de gestion du dossier compatible avec les applications.
  3. Dans l'élément Métrique, développez le menu Sélectionner une métrique, saisissez Certificate Authority dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et des métriques spécifiques :
    1. Dans le menu Ressources actives, sélectionnez Autorité de certification.
    2. Pour sélectionner une métrique, utilisez les menus Catégories de métriques actives et Métriques actives. Pour obtenir la liste des métriques, consultez Métriques privateca.
    3. Cliquez sur Appliquer.

  4. Pour ajouter des filtres qui suppriment des séries temporelles des résultats de la requête, utilisez l'élément Filtre.

  5. Pour combiner des séries temporelles, utilisez les menus de l'élément Agrégation. Par exemple, pour afficher l'utilisation du processeur pour vos VM en fonction de leur zone, définissez le premier menu sur Moyenne et le second sur zone.

    Toutes les séries temporelles sont affichées lorsque le premier menu de l'élément Agrégation est défini sur Non agrégé. Les paramètres par défaut de l'élément Aggregation (Agrégation) sont déterminés par le type de métrique que vous avez sélectionné.

  6. Pour le quota et les autres métriques qui indiquent un échantillon par jour, procédez comme suit :
    1. Dans le volet Affichage, définissez le type de widget sur Graphique à barres empilées.
    2. Définissez la période sur au moins une semaine.

Métriques du service CA

La liste des métriques est disponible dans la documentation de Cloud Monitoring.

La documentation sur les ressources surveillées est disponible dans Ressources surveillées.

Configurer des alertes et la surveillance des quotas

Vous pouvez configurer des alertes et une surveillance de l'utilisation des quotas à l'aide de Cloud Monitoring.

Pour savoir comment configurer des alertes et créer des graphiques, consultez Configurer des alertes et la surveillance des quotas.

Suivez les instructions ci-dessous pour activer les alertes recommandées.

Console

  1. Accédez à la page "Présentation du service d'autorité de certification" dans la console Google Cloud .

    Certificate Authority Service

  2. En haut à droite de la page "Vue d'ensemble", cliquez sur + 5 alertes recommandées.

  3. Activez ou désactivez chaque alerte en lisant sa description.

    • Certaines alertes sont compatibles avec des seuils personnalisés. Par exemple, vous pouvez spécifier quand vous souhaitez être averti de l'expiration d'un certificat d'autorité de certification ou du taux d'erreur en cas de taux élevé d'échecs de création de certificats.
    • Toutes les alertes sont compatibles avec les canaux de notification.

  4. Cliquez sur Envoyer une fois que vous avez activé toutes les alertes sélectionnées.

Créer une règle d'alerte

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud , accédez à la page  Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour le Type de ressource, sélectionnez Autorité de certification.
    3. Pour Catégorie de métriques, sélectionnez Ca.
    4. Pour Métrique, sélectionnez une métrique dans la liste des métriques PrivateCA.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une règle.
Pour en savoir plus, consultez Aperçu des alertes.

Créer un canal de notification Pub/Sub

Vous pouvez configurer un canal de notification qui publie des événements dans Pub/Sub en suivant ces instructions.

Exemples de règles d'alerte

Vous pouvez utiliser les exemples de règles d'alerte suivants pour les cas d'utilisation courants de surveillance des services CA.

Pour en savoir plus sur les règles d'alerte, consultez la documentation.

Autorité de certification expirant dans 30 jours

Cette règle d'alerte vous avertit 30 jours avant l'expiration d'une CA gérée. Cette règle crée des notifications d'alerte pour toutes les CA gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le sélecteur de projets de la consoleGoogle Cloud . Pour en savoir plus sur la visibilité des métriques, consultez Comprendre le champ d'application des métriques.

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud , accédez à la page  Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez Certificate Authority dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour le Type de ressource, sélectionnez Autorité de certification.
    3. Pour Catégorie de métriques, sélectionnez Ca.
    4. Pour Métrique, sélectionnez ca/cert_expiration.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Renseignez cette page avec les paramètres du tableau suivant.
    Champ de la page
    Configurer le déclencheur d'alerte
    Valeur
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une règle.
Pour en savoir plus, consultez Aperçu des alertes.

gcloud

Collez la stratégie suivante dans un fichier nommé ca-expiration-policy.yaml :

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Créez la règle d'alerte à l'aide de la commande suivante :

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Après avoir créé la règle d'alerte, suivez la procédure décrite dans Gérer les canaux de notification pour créer ou mettre à jour les canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, consultez Mettre à jour les canaux de notification d'une règle.

Taux d'échecs de création de certificats élevé

Cette règle d'alerte vous avertit lorsque le taux d'échecs de création de certificats, dus à une non-conformité avec les règles de l'autorité de certification ou à un échec de validation, dépasse le seuil de 0.2. Cette règle crée des notifications d'alerte pour toutes les CA gérées dans tous les projets dont les métriques sont visibles par le projet Google Cloud sélectionné dans le sélecteur de projets de la consoleGoogle Cloud . Pour en savoir plus sur la visibilité des métriques, consultez Comprendre le champ d'application des métriques.

gcloud

Collez la stratégie suivante dans un fichier nommé cert-create-failure.yaml :

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Créez la règle d'alerte à l'aide de la commande suivante :

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Après avoir créé la règle d'alerte, suivez la procédure décrite dans Gérer les canaux de notification pour créer ou mettre à jour les canaux de notification existants, si nécessaire. Pour ajouter un canal de notification à une règle d'alerte existante, consultez Mettre à jour les canaux de notification d'une règle.

En quoi consiste cette règle ?

Cette règle calcule le ratio entre le nombre d'échecs et le nombre total de requêtes. Elle déclenche une notification d'alerte si le ratio dépasse 20 % (c'est-à-dire, s'il est supérieur à 0,2) pendant la période d'alignement de cinq minutes.

Le filtre de la condition sélectionne le nombre d'échecs de création de certificats, qui correspond au numérateur du ratio. Le numérateur est agrégé par projet, emplacement et ID de ressource d'autorité de certification, car cette métrique comporte des libellés supplémentaires. Le filtre du dénominateur dans la condition sélectionne le nombre de demandes de création de certificats.

Une fois le seuil atteint, la règle déclenche immédiatement la notification d'alerte, car la durée autorisée pour la condition est de zéro seconde. Cette règle utilise un déclencheur défini sur 1, ce qui correspond au nombre de séries temporelles qui doivent enfreindre la condition pour que la notification d'alerte soit déclenchée.

Surveiller les métriques de type "gauge"

Les métriques de jauge mesurent une valeur à un instant précis. Par exemple, privateca.googleapis.com/ca/resource_state ou privateca.googleapis.com/kms/key_issue sont des métriques de type "gauge". Ces métriques utilisent une valeur booléenne et des libellés pour fournir des informations supplémentaires. Par exemple, privateca.googleapis.com/ca/resource_state utilise un booléen pour indiquer si l'état de l'autorité de certification est activé, mais utilise un libellé, state, pour l'état réel de la ressource.

Lorsque vous surveillez des métriques de type "gauge" qui utilisent des valeurs booléennes, nous vous recommandons d'utiliser l'agrégateur COUNT pour créer des seuils d'alerte. L'agrégateur SUM ne fait que sommer les valeurs booléennes, tandis que l'agrégateur COUNT somme le nombre de séries temporelles. Par exemple, si vous souhaitez déterminer le nombre d'AC à l'état DISABLED, vous devez créer un filtre pour state=DISABLED. Utilisez l'agrégateur COUNT pour déterminer le nombre d'AC qui correspondent à cette condition.

Coût de Cloud Monitoring

La surveillance du service CA est gratuite.

Étapes suivantes