Monitorare le risorse utilizzando Cloud Monitoring

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Certificate Authority Service.

Prima di iniziare

Se non l'hai ancora fatto, configura un progetto Google Cloud in cui è abilitata l'API Certificate Authority Service. Per informazioni, vedi Preparare l'ambiente.

Visualizzare le metriche in Cloud Monitoring

Console

Per visualizzare le metriche per una risorsa monitorata con Esplora metriche, segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina  Esplora metriche:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nella barra degli strumenti della console Google Cloud , seleziona il tuo progetto Google Cloud . Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione della cartella app.
  3. Nell'elemento Metrica, espandi il menu Seleziona una metrica, digita Certificate Authority nella barra dei filtri e poi utilizza i sottomenu per selezionare un tipo di risorsa e una metrica specifici:
    1. Nel menu Risorse attive, seleziona Autorità di certificazione.
    2. Per selezionare una metrica, utilizza i menu Categorie di metriche attive e Metriche attive. Per un elenco delle metriche, consulta metriche privateca.
    3. Fai clic su Applica.

  4. Per aggiungere filtri, che rimuovono le serie temporali dai risultati della query, utilizza l'elemento Filtro.

  5. Per combinare le serie temporali, utilizza i menu dell'elemento Aggregazione. Ad esempio, per visualizzare l'utilizzo della CPU per le VM, in base alla zona, imposta il primo menu su Media e il secondo menu su zona.

    Tutte le serie temporali vengono visualizzate quando il primo menu dell'elemento Aggregazione è impostato su Nessuna aggregazione. Le impostazioni predefinite per l'elemento Aggregazione sono determinate dal tipo di metrica che hai selezionato.

  6. Per la quota e altre metriche che riportano un campione al giorno, segui questi passaggi:
    1. Nel riquadro Visualizzazione, imposta Tipo di widget su Grafico a barre in pila.
    2. Imposta il periodo di tempo su almeno una settimana.

Metriche del servizio CA

L'elenco delle metriche può essere visualizzato nella documentazione di Cloud Monitoring.

La documentazione relativa risorsa monitorata può essere visualizzata in Risorse monitorate.

Configura avvisi e monitoraggio della quota

Puoi configurare il monitoraggio e gli avvisi sull'utilizzo della quota utilizzando Cloud Monitoring.

Per saperne di più su come configurare gli avvisi e creare grafici, consulta Configurare avvisi e monitoraggio delle quote.

Segui queste istruzioni per attivare gli avvisi consigliati.

Console

  1. Vai alla pagina Panoramica del servizio CA nella Google Cloud console.

    Certificate Authority Service

  2. In alto a destra nella pagina Panoramica, fai clic su + 5 avvisi consigliati.

  3. Attiva o disattiva ogni avviso leggendone la descrizione.

    • Alcuni avvisi supportano soglie personalizzate. Ad esempio, puoi specificare quando vuoi ricevere un avviso per un certificato CA in scadenza o la percentuale di errore per un'elevata percentuale di errori di creazione dei certificati.
    • Tutti gli avvisi supportano i canali di notifica.

  4. Fai clic su Invia dopo aver attivato tutti gli avvisi selezionati.

Crea un criterio di avviso

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella Google Cloud console, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. Per Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria metrica, seleziona CA.
    4. Per la Metrica, seleziona una metrica dall'elenco delle metriche privateca.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per ulteriori informazioni, consulta Creare criteri di avviso basati su soglie delle metriche.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta la panoramica degli avvisi.

Crea un canale di notifica Pub/Sub

Per configurare un canale di notifica che pubblica eventi in Pub/Sub, segui queste istruzioni.

Policy di avviso di esempio

Puoi utilizzare i seguenti criteri di avviso di esempio per i casi d'uso comuni del monitoraggio del servizio CA.

Per scoprire di più sui criteri di avviso, consulta la documentazione.

CA in scadenza tra 30 giorni

Queste norme sugli avvisi ti inviano una notifica 30 giorni prima della scadenza di una CA gestita. Questo policy crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore dei progetti della consoleGoogle Cloud . Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

  1. Nella Google Cloud console, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci pertinenti, inserisci Certificate Authority nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. Per Tipo di risorsa, seleziona Autorità di certificazione.
    3. Per Categoria metrica, seleziona CA.
    4. Per Metrica, seleziona ca/cert_expiration.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni nella tabella seguente.
    Campo nella pagina Configura trigger di avviso
    Valore
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su Ok.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta la panoramica degli avvisi.

gcloud

Incolla i seguenti criteri in un file denominato ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crea il criterio di avviso con il seguente comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Dopo aver creato la policy di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, segui la procedura descritta in Aggiornamento dei canali di notifica in un criterio.

Elevata percentuale di errori di creazione dei certificati

Questa norma di avviso ti invia una notifica quando il rapporto tra gli errori di creazione dei certificati, dovuti a errori di convalida o alle norme CA, supera una soglia di 0.2. Questo policy crea notifiche di avviso per tutte le CA gestite in tutti i progetti le cui metriche sono visibili al progetto Google Cloud selezionato nel selettore dei progetti della consoleGoogle Cloud . Per informazioni sulla visibilità delle metriche, consulta Informazioni sull'ambito delle metriche.

gcloud

Incolla i seguenti criteri in un file denominato cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crea il criterio di avviso con il seguente comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Dopo aver creato la policy di avviso, segui la procedura descritta in Gestione dei canali di notifica per creare o aggiornare i canali di notifica esistenti, se necessario. Per aggiungere un canale di notifica a un criterio di avviso esistente, segui la procedura descritta in Aggiornamento dei canali di notifica in un criterio.

Cosa prevedono queste norme

Questo criterio calcola il rapporto tra gli errori e le richieste totali. Il criterio attiva una notifica di avviso se il rapporto supera il 20% (ovvero il rapporto è maggiore di 0, 2) nel periodo di allineamento di 5 minuti.

Il filtro nella condizione seleziona il numero di errori di creazione dei certificati, che è il numeratore del rapporto. Il numeratore viene aggregato per progetto, località e ID risorsa CA, poiché questa metrica ha etichette aggiuntive. Il filtro denominatore nella condizione seleziona il numero di richieste di creazione di certificati.

Una volta raggiunta la soglia, il criterio attiva immediatamente la notifica di avviso, poiché la durata consentita per la condizione è di 0 secondi. Questa norma utilizza un conteggio dei trigger pari a 1, ovvero il numero di serie temporali che devono violare la condizione per attivare la notifica di avviso.

Monitoraggio delle metriche di tipo indicatore

Le metriche di tipo Misuratore misurano un valore in un momento specifico. Ad esempio, privateca.googleapis.com/ca/resource_state o privateca.googleapis.com/kms/key_issue sono metriche di tipo indicatore. Queste metriche utilizzano un valore booleano, mentre le etichette forniscono informazioni aggiuntive. Ad esempio, privateca.googleapis.com/ca/resource_state utilizza un valore booleano per indicare se lo stato della CA è attivato, ma utilizza un'etichetta, state, per lo stato effettivo della risorsa.

Quando monitori le metriche del misuratore che utilizzano valori booleani, ti consigliamo di utilizzare l'aggregatore COUNT per creare soglie di avviso. L'aggregatore SUM somma solo i valori booleani, mentre l'aggregatore COUNT somma il numero di serie temporali. Ad esempio, se vuoi determinare il numero di CA che si trovano nello stato DISABLED, devi creare un filtro per state=DISABLED. Utilizza l'aggregatore COUNT per determinare il numero di CA che corrispondono a questa condizione.

Costo di Cloud Monitoring

Il monitoraggio del servizio CA non prevede costi.

Passaggi successivi