Monitorize recursos com o Cloud Monitoring

O Cloud Monitoring pode ser usado para monitorizar as operações realizadas em recursos no serviço de autoridade de certificação.

Antes de começar

Se ainda não o fez, configure um Google Cloud projeto que tenha a API Certificate Authority Service ativada. Para mais informações, consulte o artigo Prepare o seu ambiente.

Veja métricas no Cloud Monitoring

Consola

Para ver as métricas de um recurso monitorizado através do Metrics Explorer, faça o seguinte:

  1. Na Google Cloud consola, aceda à página  Explorador de métricas:

    Aceda ao Metrics Explorer

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Na barra de ferramentas da Google Cloud consola, selecione o seu Google Cloud projeto. Para configurações do App Hub, selecione o projeto anfitrião do App Hub ou o projeto de gestão da pasta com apps ativadas.
  3. No elemento Métrica, expanda o menu Selecionar uma métrica, introduza Certificate Authority na barra de filtro e, de seguida, use os submenus para selecionar um tipo de recurso e uma métrica específicos:
    1. No menu Recursos ativos, selecione Autoridade de certificação.
    2. Para selecionar uma métrica, use os menus Categorias de métricas ativas e Métricas ativas. Para ver uma lista de métricas, consulte as métricas privateca.
    3. Clique em Aplicar.

  4. Para remover séries cronológicas da apresentação, use o elemento Filtro.

  5. Para combinar séries cronológicas, use os menus no elemento Agregação. Por exemplo, para apresentar a utilização da CPU das suas VMs, com base na respetiva zona, defina o primeiro menu como Média e o segundo menu como zona.

    Todas as séries cronológicas são apresentadas quando o primeiro menu do elemento Agregação está definido como Não agregado. As predefinições do elemento Agregação são determinadas pelo tipo de métrica que selecionou.

  6. Para a quota e outras métricas que comunicam uma amostra por dia, faça o seguinte:
    1. No painel Apresentação, defina o Tipo de widget como Gráfico de barras empilhadas.
    2. Defina o período como, pelo menos, uma semana.

Métricas do serviço de AC

Pode ver a lista de métricas na documentação do Cloud Monitoring.

Pode ver a documentação de recursos monitorizados em Recursos monitorizados.

Configure alertas e monitorização de quotas

Pode configurar alertas de utilização de quotas e monitorização através do Cloud Monitoring.

Para mais informações sobre como configurar alertas e criar gráficos, consulte o artigo Configurar alertas de quota e monitorização.

Siga as instruções abaixo para ativar os alertas recomendados.

Consola

  1. Aceda à página Vista geral do serviço de CA na Google Cloud consola.

    Certificate Authority Service

  2. Na parte superior direita da página Vista geral, clique em + 5 alertas recomendados.

  3. Ative ou desative cada alerta lendo a respetiva descrição.

    • Alguns alertas suportam limites personalizados. Por exemplo, pode especificar quando quer receber um alerta sobre um certificado de AC com validade prestes a expirar ou a taxa de erros para uma taxa elevada de falhas de criação de certificados.
    • Todos os alertas suportam canais de notificações.

  4. Clique em Enviar depois de ativar todos os alertas selecionados.

Crie uma política de alerta

Consola

Pode criar políticas de alerta para monitorizar os valores das métricas e receber uma notificação quando essas métricas violarem uma condição.

  1. Na Google Cloud consola, aceda à página  Alertas:

    Aceder a Alertas

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Se não tiver criado os canais de notificação e quiser receber notificações, clique em Editar canais de notificação e adicione os seus canais de notificação. Regresse à página Alertas depois de adicionar os seus canais.
  3. Na página Alertas, selecione Criar política.
  4. Para selecionar a métrica, expanda o menu Selecione uma métrica e, em seguida, faça o seguinte:
    1. Para limitar o menu a entradas relevantes, introduza Certificate Authority na barra de filtros. Se não houver resultados depois de filtrar o menu, desative o botão Mostrar apenas recursos e métricas ativos.
    2. Para o Tipo de recurso, selecione Autoridade de certificação.
    3. Para a Categoria de métricas, selecione Ca.
    4. Para a Métrica, selecione uma métrica na lista de métricas de privateca.
    5. Selecione Aplicar.
  5. Clicar em Seguinte.
  6. As definições na página Configurar acionador de alerta determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, consulte Crie políticas de alertas de limite métrico.
  7. Clicar em Seguinte.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.
  9. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
  10. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
  11. Clique em Nome do alerta e introduza um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte o artigo Vista geral dos alertas.

Crie um canal de notificação do Pub/Sub

Pode configurar um canal de notificação que publica eventos no Pub/Sub seguindo estas instruções.

Exemplos de políticas de alerta

Pode usar as seguintes políticas de alerta de exemplo para exemplos de utilização comuns da monitorização de serviços de CA.

Para saber mais acerca das políticas de alerta, consulte a documentação.

CA expira dentro de 30 dias

Esta política de alertas envia-lhe uma notificação 30 dias antes de uma AC gerida expirar. Esta política cria notificações de alerta para todas as ACs geridas em todos os projetos cujas métricas são visíveis para o projeto selecionado no seletor de projetos da consola. Google Cloud Google Cloud Para ver informações sobre a visibilidade das métricas, consulte o artigo Compreender o âmbito das métricas.

Consola

Pode criar políticas de alerta para monitorizar os valores das métricas e receber uma notificação quando essas métricas violarem uma condição.

  1. Na Google Cloud consola, aceda à página  Alertas:

    Aceder a Alertas

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Se não tiver criado os canais de notificação e quiser receber notificações, clique em Editar canais de notificação e adicione os seus canais de notificação. Regresse à página Alertas depois de adicionar os seus canais.
  3. Na página Alertas, selecione Criar política.
  4. Para selecionar a métrica, expanda o menu Selecione uma métrica e, em seguida, faça o seguinte:
    1. Para limitar o menu a entradas relevantes, introduza Certificate Authority na barra de filtros. Se não houver resultados depois de filtrar o menu, desative o botão Mostrar apenas recursos e métricas ativos.
    2. Para o Tipo de recurso, selecione Autoridade de certificação.
    3. Para a Categoria de métricas, selecione Ca.
    4. Para a Métrica, selecione ca/cert_expiration.
    5. Selecione Aplicar.
  5. Clicar em Seguinte.
  6. As definições na página Configurar acionador de alerta determinam quando o alerta é acionado. Preencha esta página com as definições na tabela seguinte.
    Página de configuração do acionador de alerta
    Campo
    Valor
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. Clicar em Seguinte.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.
  9. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
  10. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
  11. Clique em Nome do alerta e introduza um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte o artigo Vista geral dos alertas.

gcloud

Cole a seguinte política num ficheiro denominado ca-expiration-policy.yaml:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

Crie a política de alertas com o seguinte comando:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

Depois de criar a política de alerta, siga as instruções em Gerir canais de notificação para criar ou atualizar canais de notificação existentes, se necessário. Para adicionar um canal de notificação a uma política de alerta existente, siga as instruções em Atualizar canais de notificação numa política.

Taxa elevada de falhas na criação de certificados

Esta política de alertas envia-lhe uma notificação quando a taxa de falhas de criação de certificados, devido à política da AC ou a uma falha de validação, excede um limite de 0.2. Esta política cria notificações de alerta para todas as ACs geridas em todos os projetos cujas métricas são visíveis para o projeto selecionado no seletor de projetos da consola. Google Cloud Google Cloud Para ver informações sobre a visibilidade das métricas, consulte o artigo Compreender o âmbito das métricas.

gcloud

Cole a seguinte política num ficheiro denominado cert-create-failure.yaml:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

Crie a política de alertas com o seguinte comando:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

Depois de criar a política de alertas, siga as instruções em Gerir canais de notificação para criar ou atualizar canais de notificação existentes, se necessário. Para adicionar um canal de notificação a uma política de alerta existente, siga as instruções em Atualizar canais de notificação numa política.

O que esta política faz

Esta política calcula a relação entre as falhas e o total de pedidos. A política aciona uma notificação de alerta se a proporção exceder 20% (ou seja, a proporção for superior a 0,2) durante o período de alinhamento de 5 minutos.

O filtro na condição seleciona o número de falhas de criação de certificados, que é o numerador na proporção. O numerador é agregado por projeto, localização e ID do recurso de CA, uma vez que esta métrica tem etiquetas adicionais. O filtro do denominador na condição seleciona o número de pedidos de criação de certificados.

Assim que o limite for atingido, a política aciona a notificação de alerta imediatamente, uma vez que a duração permitida para a condição é de 0 segundos. Esta política usa uma contagem de acionadores de 1, que é o número de séries cronológicas que tem de violar a condição para acionar a notificação de alerta.

Monitorizar métricas de indicador

As métricas de indicador medem um valor num instante específico. Por exemplo, privateca.googleapis.com/ca/resource_state ou privateca.googleapis.com/kms/key_issue são métricas de indicador. Estas métricas usam um valor booleano, enquanto usam etiquetas para fornecer informações adicionais. Por exemplo, privateca.googleapis.com/ca/resource_state usa um valor booleano para saber se o estado de CA está ativado, mas usa uma etiqueta, state, para o estado real do recurso.

Quando monitoriza métricas de indicador que usam valores booleanos, recomendamos que use o agregador COUNT para criar limites de alerta. O agregador SUM só soma os valores booleanos, enquanto o agregador COUNT soma o número de séries cronológicas. Por exemplo, se quiser determinar o número de CAs que estão no estado DISABLED, deve criar um filtro para state=DISABLED. Use o agregador COUNT para determinar o número de CAs que correspondem a esta condição.

Custo do Cloud Monitoring

A monitorização do serviço de CA não tem qualquer custo.

O que se segue?