使用 Cloud Monitoring 监控资源
Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。
准备工作
如果您尚未设置启用 Certificate Authority Service API 的 Google Cloud 项目,请进行设置。如需了解详情,请参阅为环境做好准备。
在 Cloud Monitoring 中查看指标
控制台
如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:
-
在 Google Cloud 控制台中,转到 leaderboard Metrics Explorer 页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 在指标元素中,展开选择指标菜单,在过滤栏中输入
Certificate Authority
,然后使用子菜单选择一个特定资源类型和指标: 如需从显示结果中移除时序,请使用过滤条件元素。
如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区。
当聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。
- 对于配额和每天报告一个样本的其他指标,请执行以下操作:
- 在显示窗格中,将微件类型设置为堆叠条形图。
- 将时间段设置为至少一周。
CA Service 指标
您可以在 Cloud Monitoring 文档中查看指标列表。
您可以在受监控的资源中查看受监控资源文档。
启用建议的提醒
请按照以下说明启用建议的提醒。
控制台
前往 Google Cloud 控制台中的 CA 服务概览页面。
在“概览”页面的右上角,点击 + 5 条推荐提醒。
阅读每条提醒的说明,然后决定启用或停用。
- 某些提醒支持自定义阈值。例如,您可以指定何时希望收到有关 CA 证书即将过期的提醒,或者证书创建失败率过高时的错误率。
- 所有提醒都支持通知渠道。
启用所有所选提醒后,点击提交。
创建提醒政策
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策。
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
创建 Pub/Sub 通知渠道
您可以按照这些说明设置将事件发布到 Pub/Sub 的通知渠道。
提醒政策示例
您可以将以下示例提醒政策用于常见的 CA 服务监控用例。
如需详细了解提醒政策,请参阅文档。
CA 将在 30 天后到期
此提醒政策会在托管 CA 到期前 30 天通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围。
控制台
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
Certificate Authority
。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 在资源类型部分,选择证书授权机构。
- 对于指标类别,请选择 Ca。
- 对于指标,请选择 ca/cert_expiration。
- 选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。
使用下表中的设置填写此页面。
配置提醒触发器页面
字段
值Condition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
gcloud
将以下政策粘贴到名为 ca-expiration-policy.yaml
的文件中:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。
证书创建失败率很高
当因 CA 政策或验证失败而导致的证书创建失败率超过 0.2
阈值时,此提醒政策会通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围。
gcloud
将以下政策粘贴到名为 cert-create-failure.yaml
的文件中:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
使用以下命令创建提醒政策:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。
此政策的作用
此政策计算失败请求与总请求的比率。如果在 5 分钟的校准时间段内比率超过 20%(即比率大于 0.2),则此政策会触发提醒通知。
条件中的过滤条件会选择证书创建失败的数量,即该比率的分子。由于此指标具有其他标签,因此分子会按项目、位置和 CA 资源 ID 进行汇总。条件中的分母过滤条件用于选择证书创建请求的数量。
达到阈值后,由于该条件允许的时长为 0 秒,因此政策会立即触发提醒通知。此政策使用的触发器数量为 1,即需要违反条件以触发提醒通知的时序的数量。
监控电流表指标
衡量指标用于衡量特定时刻的值。例如,privateca.googleapis.com/ca/resource_state
或 privateca.googleapis.com/kms/key_issue
是指示器指标。这些指标使用布尔值,同时使用标签提供其他信息。例如,privateca.googleapis.com/ca/resource_state
使用布尔值来表示 CA 状态是否已启用,但使用标签 state
来表示实际资源状态。
监控使用布尔值的指标时,我们建议您使用 COUNT
汇总器来构建提醒阈值。SUM
聚合器仅会对布尔值进行求和,而 COUNT
聚合器会对时序的数量进行求和。例如,如果您想确定处于 DISABLED
状态的 CA 的数量,则应为 state=DISABLED
创建过滤条件。使用 COUNT
汇总器确定与此条件匹配的 CA 数量。
Cloud Monitoring 费用
监控 CA 服务无需支付任何费用。