使用 Cloud Monitoring 监控资源

Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。

准备工作

如果您尚未设置启用 Certificate Authority Service API 的 Google Cloud 项目,请进行设置。如需了解详情,请参阅为环境做好准备

在 Cloud Monitoring 中查看指标

控制台

如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往  Metrics Explorer 页面:

    进入 Metrics Explorer

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 在 Google Cloud 控制台的工具栏中,选择您的 Google Cloud 项目。 对于 App Hub 配置,请选择 App Hub 宿主项目或启用应用的文件夹的管理项目。
  3. 指标元素中,展开选择指标菜单,在过滤栏中输入 Certificate Authority,然后使用子菜单选择一个特定资源类型和指标:
    1. 活跃资源菜单中,选择证书颁发机构
    2. 如需选择指标,请使用活跃指标类别活跃指标菜单。 如需查看指标列表,请参阅隐私权指标
    3. 点击应用

  4. 如需从显示结果中移除时序,请使用过滤条件元素

  5. 如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区

    聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。

  6. 对于配额和每天报告一个样本的其他指标,请执行以下操作:
    1. 显示窗格中,将微件类型设置为堆叠条形图
    2. 将时间段设置为至少一周。

CA Service 指标

您可以在 Cloud Monitoring 文档中查看指标列表。

您可以在受监控的资源中查看受监控资源文档。

设置配额提醒和监控

您可以使用 Cloud Monitoring 设置配额用量提醒和监控。

如需详细了解如何设置提醒和创建图表,请参阅设置配额提醒和监控

请按照以下说明启用建议的提醒。

控制台

  1. 前往 Google Cloud 控制台中的 CA 服务概览页面。

    Certificate Authority Service

  2. 在“概览”页面的右上角,点击 + 5 条推荐提醒

  3. 阅读每条提醒的说明,然后决定启用或停用。

    • 某些提醒支持自定义阈值。例如,您可以指定何时希望收到有关 CA 证书即将过期的提醒,或者证书创建失败率过高时的错误率。
    • 所有提醒都支持通知渠道

  4. 启用所有所选提醒后,点击提交

创建提醒政策

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤条件栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 资源类型部分,选择证书授权机构
    3. 对于指标类别,请选择 Ca
    4. 对于指标,请从隐私权指标列表中选择一个指标。
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击创建政策
如需了解详情,请参阅提醒概览

创建 Pub/Sub 通知渠道

您可以按照这些说明设置将事件发布到 Pub/Sub 的通知渠道。

提醒政策示例

您可以将以下示例提醒政策用于常见的 CA 服务监控用例。

如需详细了解提醒政策,请参阅文档

CA 将在 30 天后过期

此提醒政策会在托管的 CA 到期前 30 天通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤条件栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 资源类型部分,选择证书授权机构
    3. 对于指标类别,请选择 Ca
    4. 对于指标,请选择 ca/cert_expiration
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 使用下表中的设置填写此页面。
    配置提醒触发器页面
    字段
    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击创建政策
如需了解详情,请参阅提醒概览

gcloud

将以下政策粘贴到名为 ca-expiration-policy.yaml 的文件中:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

证书创建失败率很高

当因 CA 政策或验证失败而导致的证书创建失败率超过 0.2 阈值时,此提醒政策会通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围

gcloud

将以下政策粘贴到名为 cert-create-failure.yaml 的文件中:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

此政策的作用

此政策计算失败请求与总请求的比率。如果在 5 分钟的校准时间段内比率超过 20%(即比率大于 0.2),则此政策会触发提醒通知。

条件中的过滤条件会选择证书创建失败的数量,即该比率的分子。由于此指标具有其他标签,因此分子会按项目、位置和 CA 资源 ID 进行汇总。条件中的分母过滤条件用于选择证书创建请求的数量。

达到阈值后,由于该条件允许的时长为 0 秒,因此政策会立即触发提醒通知。此政策使用的触发器数量为 1,即需要违反条件以触发提醒通知的时间序列的数量。

监控电流表指标

衡量指标用于衡量特定时刻的值。例如,privateca.googleapis.com/ca/resource_stateprivateca.googleapis.com/kms/key_issue 是指针仪表板指标。这些指标使用布尔值,同时使用标签提供其他信息。例如,privateca.googleapis.com/ca/resource_state 使用布尔值来表示 CA 状态是否已启用,但使用标签 state 来表示实际资源状态。

监控使用布尔值的指标时,我们建议您使用 COUNT 汇总器来构建提醒阈值。SUM 聚合器仅会对布尔值进行求和,而 COUNT 聚合器会对时间序列的数量进行求和。例如,如果您想确定处于 DISABLED 状态的 CA 的数量,则应为 state=DISABLED 创建过滤条件。使用 COUNT 汇总器确定符合此条件的 CA 数量。

Cloud Monitoring 费用

监控 CA 服务无需支付任何费用。

后续步骤