Monitorare le risorse utilizzando Cloud Monitoring

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.

Prima di iniziare

Se non l'hai ancora fatto, configura un progetto Google Cloud in cui è abilitata l'API Certificate Authority Service. Per informazioni, vedi Preparare l'ambiente.

Visualizzare le metriche in Cloud Monitoring

Console

Per visualizzare le metriche per una risorsa monitorata con Esplora metriche, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina  Esplora metriche:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nell'elemento Metrica, espandi il menu Seleziona una metrica, digita Certificate Authority nella barra dei filtri e poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
    1. Nel menu Risorse attive, seleziona Autorità di certificazione.
    2. Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta Metriche privateca.
    3. Fai clic su Applica.

  3. Per rimuovere le serie temporali dalla visualizzazione, utilizza l'elemento Filtro.

  4. Per combinare le serie temporali, utilizza i menu dell'elemento Aggregazione. Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Media e il secondo menu su zona.

    Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregazione è impostato su Nessuna aggregazione. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica che hai selezionato.

  5. Per la quota e altre metriche che generano un campione al giorno:
    1. Nel riquadro Visualizza, imposta Tipo di widget su Grafico a barre in pila.
    2. Imposta il periodo di tempo su almeno una settimana.

Metriche di CA Service

L'elenco delle metriche è disponibile nella documentazione di Cloud Monitoring.

La documentazione risorsa monitorata è disponibile in Risorse monitorate.

Segui le istruzioni riportate di seguito per attivare gli avvisi consigliati.

Console

  1. Vai alla pagina Panoramica del servizio CA nella console Google Cloud.

    Certificate Authority Service

  2. In alto a destra nella pagina Panoramica, fai clic su + 5 avvisi consigliati.

  3. Attiva o disattiva ogni avviso leggendo la relativa descrizione.

    • Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere un avviso per un certificato CA in scadenza o la percentuale di errore per un'elevata percentuale di errori di creazione dei certificati.
    • Tutti gli avvisi supportano i canali di notifica.

  4. Fai clic su Invia dopo aver attivato tutti gli avvisi selezionati.

Crea un criterio di avviso

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per la Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona una metrica dall'elenco delle metriche privateca.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per ulteriori informazioni, consulta Creare criteri di avviso basati su soglie di metriche.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

Creare un canale di notifica Pub/Sub

Puoi configurare un canale di notifica che pubblichi eventi in Pub/Sub seguendo queste istruzioni.

Criteri di avviso di esempio

Puoi utilizzare i seguenti criteri di avviso di esempio per i casi d'uso comuni di monitoraggio del servizio CA.

Per scoprire di più sui criteri di avviso, consulta la documentazione.

CA che scade tra 30 giorni

Questo criterio di avviso ti invia una notifica 30 giorni prima della scadenza di una CA gestita. Questa norma crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per la Categoria metrica, seleziona Ca.
    4. Per Metrica, seleziona ca/cert_expiration.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni riportate nella tabella seguente.
    Pagina Configura attivatore di avvisi
    Campo
    Valore
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

gcloud

Incolla il seguente criterio in un file denominato ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea il criterio di avviso con il seguente comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Dopo aver creato il criterio di avviso, segui le istruzioni riportate in Gestire i canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, segui la sezione Aggiornare i canali di notifica in un criterio.

Elevata percentuale di errori di creazione dei certificati

Questo criterio di avviso ti invia una notifica quando il rapporto tra i fallimenti di creazione dei certificati, dovuti a criteri dell'autorità di certificazione o a errori di convalida, supera una soglia di 0.2. Questa norma crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore di progetti della console Google Cloud. Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

gcloud

Incolla il seguente criterio in un file denominato cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea il criterio di avviso con il seguente comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Dopo aver creato il criterio di avviso, segui le istruzioni riportate in Gestire i canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, segui la sezione Aggiornare i canali di notifica in un criterio.

Che cosa prevedono queste norme

Questo criterio calcola il rapporto tra i fallimenti e le richieste totali. Il criterio attiva una notifica di avviso se il rapporto supera il 20% (ovvero è maggiore di 0, 2) durante il periodo di allineamento di 5 minuti.

Il filtro nella condizione seleziona il numero di errori di creazione del certificato, che è il numeratore del rapporto. Il numeratore viene aggregato per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro denominatore nella condizione seleziona il numero di richieste di creazione dei certificati.

Una volta raggiunta la soglia, il criterio attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è 0 secondi. Questo criterio utilizza un conteggio di attivazioni pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.

Metriche del grafico di monitoraggio

Le metriche indicatore misurano un valore in un istante specifico nel tempo. Ad esempio, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue sono metriche di indicatore. Queste metriche utilizzano un valore booleano, mentre le etichette forniscono informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state utilizza un valore booleano per indicare se lo stato dell'autorità di certificazione è attivo, ma utilizza un'etichetta, state, per lo stato effettivo della risorsa.

Quando monitori le metriche degli indicatori che utilizzano valori booleani, ti consigliamo di utilizzare l'aggregatore COUNT per creare soglie di avviso. L'aggregato SUM somma solo i valori booleani, mentre l'aggregato COUNT somma il numero di serie temporali. Ad esempio, se vuoi determinare il numero di CA che si trovano nello stato DISABLED, devi creare un filtro perstate=DISABLED. Utilizza l'aggregatore COUNT per determinare il numero di CA che soddisfano questa condizione.

Costo di Cloud Monitoring

Il monitoraggio del servizio CA non prevede costi.

Passaggi successivi