使用 Cloud Monitoring 监控资源

Cloud Monitoring 可用于监控对 Certificate Authority Service 中的资源执行的操作。

准备工作

如果您尚未设置启用 Certificate Authority Service API 的 Google Cloud 项目,请进行设置。如需了解详情,请参阅为环境做好准备

在 Cloud Monitoring 中查看指标

控制台

如需使用 Metrics Explorer 查看受监控资源的指标,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 Metrics Explorer 页面:

    进入 Metrics Explorer

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 指标元素中,展开选择指标菜单,在过滤栏中输入 Certificate Authority,然后使用子菜单选择一个特定资源类型和指标:
    1. 活跃资源菜单中,选择证书颁发机构
    2. 如需选择指标,请使用活跃指标类别活跃指标菜单。 如需查看指标列表,请参阅隐私权指标
    3. 点击应用
  3. 如需从显示结果中移除时序,请使用过滤条件元素

  4. 如需组合时序,请使用聚合元素上的菜单。例如,如需根据虚拟机所在的可用区显示虚拟机的 CPU 利用率,请将第一个菜单设置为平均值,并将第二个菜单设置为可用区

    聚合元素的第一个菜单设置为未聚合时,系统会显示所有时序。聚合元素的默认设置由您选择的指标类型决定。

  5. 对于配额和每天报告一个样本的其他指标,请执行以下操作:
    1. 显示窗格中,将微件类型设置为堆叠条形图
    2. 将时间段设置为至少一周。

CA Service 指标

您可以在 Cloud Monitoring 文档中查看指标列表。

您可以在受监控的资源中查看受监控资源文档。

请按照以下说明启用建议的提醒。

控制台

  1. 前往 Google Cloud 控制台中的 CA 服务概览页面。

    Certificate Authority Service

  2. 在“概览”页面的右上角,点击 + 5 条推荐提醒

  3. 阅读每条提醒的说明,然后决定启用或停用。

    • 某些提醒支持自定义阈值。例如,您可以指定何时希望收到有关 CA 证书即将过期的提醒,或者证书创建失败率过高时的错误率。
    • 所有提醒都支持通知渠道
  4. 启用所有所选提醒后,点击提交

创建提醒政策

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 资源类型部分,选择证书授权机构
    3. 对于指标类别,请选择 Ca
    4. 对于指标,请从隐私权指标列表中选择一个指标。
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 选择条件类型,并在必要时指定阈值。如需了解详情,请参阅创建指标阈值提醒政策
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

创建 Pub/Sub 通知渠道

您可以按照这些说明设置将事件发布到 Pub/Sub 的通知渠道。

提醒政策示例

您可以将以下示例提醒政策用于常见的 CA 服务监控用例。

如需详细了解提醒政策,请参阅文档

CA 将在 30 天后到期

此提醒政策会在托管 CA 到期前 30 天通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围

控制台

您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

  1. 在 Google Cloud 控制台中,转到 提醒页面:

    进入提醒

    如果您使用搜索栏查找此页面,请选择子标题为监控的结果。

  2. 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
  3. 提醒页面中,点击创建政策
  4. 如需选择指标,请展开选择指标菜单,然后执行以下操作:
    1. 如需将菜单限制为相关条目,请在过滤栏中输入 Certificate Authority。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。
    2. 资源类型部分,选择证书授权机构
    3. 对于指标类别,请选择 Ca
    4. 对于指标,请选择 ca/cert_expiration
    5. 选择应用
  5. 点击下一步
  6. 配置提醒触发器页面中的设置决定了何时触发提醒。 使用下表中的设置填写此页面。
    配置提醒触发器页面
    字段

    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. 点击下一步
  8. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定
  9. 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
  10. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  11. 点击提醒名称,然后输入提醒政策的名称。
  12. 点击 Create Policy(创建政策)。
如需了解详情,请参阅提醒政策

gcloud

将以下政策粘贴到名为 ca-expiration-policy.yaml 的文件中:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

证书创建失败率很高

当因 CA 政策或验证失败而导致的证书创建失败率超过 0.2 阈值时,此提醒政策会通知您。此政策会为所有项目中的所有受管 CA 创建提醒通知,前提是这些项目的指标对 Google Cloud 控制台项目选择器中所选 Google Cloud 项目可见。如需了解指标可见性,请参阅了解指标范围

gcloud

将以下政策粘贴到名为 cert-create-failure.yaml 的文件中:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

使用以下命令创建提醒政策:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

创建提醒政策后,请按照管理通知渠道中的说明创建或更新现有通知渠道(如有必要)。如需向现有提醒政策添加通知渠道,请按照更新政策中的通知渠道中的说明操作。

此政策的作用

此政策计算失败请求与总请求的比率。如果在 5 分钟的校准时间段内比率超过 20%(即比率大于 0.2),则此政策会触发提醒通知。

条件中的过滤条件会选择证书创建失败的数量,即该比率的分子。由于此指标具有其他标签,因此分子会按项目、位置和 CA 资源 ID 进行汇总。条件中的分母过滤条件用于选择证书创建请求的数量。

达到阈值后,由于该条件允许的时长为 0 秒,因此政策会立即触发提醒通知。此政策使用的触发器数量为 1,即需要违反条件以触发提醒通知的时序的数量。

监控电流表指标

衡量指标用于衡量特定时刻的值。例如,privateca.googleapis.com/ca/resource_stateprivateca.googleapis.com/kms/key_issue 是指示器指标。这些指标使用布尔值,同时使用标签提供其他信息。例如,privateca.googleapis.com/ca/resource_state 使用布尔值来表示 CA 状态是否已启用,但使用标签 state 来表示实际资源状态。

监控使用布尔值的指标时,我们建议您使用 COUNT 汇总器来构建提醒阈值。SUM 聚合器仅会对布尔值进行求和,而 COUNT 聚合器会对时序的数量进行求和。例如,如果您想确定处于 DISABLED 状态的 CA 的数量,则应为 state=DISABLED 创建过滤条件。使用 COUNT 汇总器确定与此条件匹配的 CA 数量。

Cloud Monitoring 费用

监控 CA 服务无需支付任何费用。

后续步骤