使用 Cloud Monitoring 監控資源

Cloud Monitoring 可用來監控針對憑證授權單位服務中的資源執行的作業。

事前準備

如果您尚未設定專案,請先設定專案並啟用 Certificate Authority Service API。 Google Cloud 詳情請參閱「準備環境」。

在 Cloud Monitoring 中查看指標

控制台

如要使用 Metrics Explorer 查看受監控資源的指標,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 「Metrics Explorer」頁面:

    前往 Metrics Explorer

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果

  2. 在 Google Cloud 控制台的工具列中,選取您的 Google Cloud 專案。 如要進行 App Hub 設定,請選取 App Hub 主專案或已啟用應用程式的資料夾管理專案。
  3. 在「指標」元素中,展開「選取指標」選單, 在篩選列中輸入 Certificate Authority, 然後使用子選單選取特定資源類型和指標:
    1. 在「Active resources」(有效資源) 選單中,選取「Certificate Authority」(憑證授權單位)
    2. 如要選取指標,請使用「使用中的指標類別」和「使用中的指標」選單。 如需指標清單,請參閱「privateca 指標」。
    3. 按一下 [套用]
  4. 如要從顯示畫面中移除時間序列,請使用「篩選器」元素

  5. 如要合併時間序列,請使用「Aggregation」元素上的選單。舉例來說,如要依據 VM 的所在區域顯示 CPU 使用率,請將第一個選單設為「平均值」,第二個選單設為「區域」

    將「Aggregation」(匯總) 元素的第一個選單設為「Unaggregated」(未匯總) 時,系統會顯示所有時間序列。「匯總」元素的預設設定取決於您選取的指標類型。

  6. 如要取得每日一個樣本的配額和其他指標,請按照下列步驟操作:
    1. 在「顯示」窗格中,將「小工具類型」設為「堆疊長條圖」
    2. 將時間範圍設為至少一週。

CA 服務指標

如要查看指標清單,請參閱 Cloud Monitoring 說明文件

如要查看受監控資源說明文件,請參閱「受監控資源」。

設定配額快訊和監控功能

您可以使用 Cloud Monitoring 設定配額用量快訊和監控。

如要進一步瞭解如何設定快訊及建立圖表,請參閱「設定配額快訊和監控」。

請按照下列說明啟用建議的快訊。

控制台

  1. 前往 Google Cloud 控制台的「CA Service Overview」(CA 服務總覽) 頁面。

    憑證授權單位服務

  2. 按一下「總覽」頁面右上方的「+ 5 個建議快訊」

  3. 啟用或停用各項快訊,並閱讀說明。

    • 部分快訊支援自訂門檻。舉例來說,您可以指定何時要收到 CA 憑證即將到期的快訊,或是憑證建立失敗率過高時的錯誤率。
    • 所有快訊都支援通知管道
  4. 啟用所有選取的快訊後,請按一下「提交」

建立快訊政策

控制台

您可以建立快訊政策來監控指標值,並在指標違反條件時收到通知。

  1. 前往 Google Cloud 控制台的 「Alerting」(警告) 頁面

    前往「Alerting」(快訊)

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果

  2. 如果您尚未建立通知管道,但想收到通知,請按一下「編輯通知管道」,然後新增通知管道。新增管道後,返回「快訊」頁面。
  3. 在「Alerting」(快訊) 頁面中,選取「Create policy」(建立政策)
  4. 如要選取指標,請展開「選取指標」選單,然後執行下列操作:
    1. 如要將選單限制為相關項目,請在篩選列中輸入 Certificate Authority。如果篩選選單後沒有任何結果,請停用「僅顯示活躍的資源和指標」切換按鈕。
    2. 在「資源類型」部分,選取「憑證授權單位」
    3. 在「指標類別」部分,選取「Ca」
    4. 在「指標」中,從私有 CA 指標清單中選取指標。
    5. 選取 [Apply] (套用)
  5. 點選「下一步」
  6. 「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。 選取條件類型,並視需要指定門檻。詳情請參閱建立指標閾值快訊政策
  7. 點選「下一步」
  8. 選用:如要新增通知至您的快訊政策,請按一下「通知管道」。在對話方塊中,從選單選取一或多個通知管道,然後按一下「確定」
  9. 選用:更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
  10. 選用:按一下「說明文件」,然後在通知訊息中新增任何資訊。
  11. 按一下「快訊名稱」,然後輸入快訊政策的名稱。
  12. 點選「建立政策」
詳情請參閱「快訊總覽」。

建立 Pub/Sub 通知管道

如要設定將事件發布至 Pub/Sub 的通知管道,請按照這些操作說明進行。

快訊政策範例

您可以參考下列範例快訊政策,瞭解常見的 CA 服務監控用途。

如要進一步瞭解快訊政策,請參閱說明文件

憑證授權單位將於 30 天後到期

這項快訊政策會在受管理 CA 到期前 30 天通知您。這項政策會為所有專案中所有受管理 CA 建立快訊通知,這些專案的指標會顯示在 Google Cloud 控制台專案選擇工具Google Cloud 中選取的專案。如要瞭解指標曝光度,請參閱「瞭解指標範圍」。

控制台

您可以建立快訊政策來監控指標值,並在指標違反條件時收到通知。

  1. 前往 Google Cloud 控制台的 「Alerting」(警告) 頁面

    前往「Alerting」(快訊)

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果

  2. 如果您尚未建立通知管道,但想收到通知,請按一下「編輯通知管道」,然後新增通知管道。新增管道後,返回「快訊」頁面。
  3. 在「Alerting」(快訊) 頁面中,選取「Create policy」(建立政策)
  4. 如要選取指標,請展開「選取指標」選單,然後執行下列操作:
    1. 如要將選單限制為相關項目,請在篩選列中輸入 Certificate Authority。如果篩選選單後沒有任何結果,請停用「僅顯示活躍的資源和指標」切換按鈕。
    2. 在「資源類型」部分,選取「憑證授權單位」
    3. 在「指標類別」部分,選取「Ca」
    4. 在「Metric」(指標) 部分,選取「ca/cert_expiration」
    5. 選取 [Apply] (套用)
  5. 點選「下一步」
  6. 「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。 按照下表中的設定完成這個頁面。
    「設定快訊觸發條件」頁面
    欄位

    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. 點選「下一步」
  8. 選用:如要新增通知至您的快訊政策,請按一下「通知管道」。在對話方塊中,從選單選取一或多個通知管道,然後按一下「確定」
  9. 選用:更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
  10. 選用:按一下「說明文件」,然後在通知訊息中新增任何資訊。
  11. 按一下「快訊名稱」,然後輸入快訊政策的名稱。
  12. 點選「建立政策」
詳情請參閱「快訊總覽」。

gcloud

將下列政策貼到名為 ca-expiration-policy.yaml 的檔案中:

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

使用下列指令建立快訊政策:

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

建立快訊政策後,請按照「管理通知管道」一文的說明,視需要建立或更新現有通知管道。如要將通知管道新增至現有快訊政策,請按照「更新政策中的通知管道」一文的說明操作。

憑證建立失敗率過高

如果因 CA 政策或驗證失敗而導致憑證建立失敗的比例超過 0.2 門檻,這項快訊政策就會通知您。這項政策會為所有專案中所有受管理 CA 建立快訊通知,這些專案的指標會顯示在 Google Cloud 控制台專案選擇工具Google Cloud 中選取的專案。如要瞭解指標曝光度,請參閱「瞭解指標範圍」。

gcloud

將下列政策貼到名為 cert-create-failure.yaml 的檔案中:

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

使用下列指令建立快訊政策:

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

建立快訊政策後,請按照「管理通知管道」一文的說明,視需要建立或更新現有通知管道。如要將通知管道新增至現有快訊政策,請按照「更新政策中的通知管道」一文的說明操作。

這項政策的用途

這項政策會計算失敗要求與要求總數的比率。如果比率在 5 分鐘的對齊期間內超過 20% (也就是比率大於 0.2),這項政策就會觸發快訊通知。

條件中的篩選器會選取憑證建立失敗次數,也就是比率的分子。由於這項指標有額外標籤,因此分子會依專案、位置和 CA 資源 ID 匯總。條件中的分母篩選器會選取憑證建立要求數量。

達到門檻後,政策會立即觸發快訊通知,因為條件的允許時間為 0 秒。這項政策使用 1 個觸發次數,也就是違反條件的時間序列數量,達到這個數量就會觸發快訊通知。

監控計量表指標

量規指標會測量特定時間點的值。舉例來說,privateca.googleapis.com/ca/resource_stateprivateca.googleapis.com/kms/key_issue 是計量表指標。這些指標會使用布林值,並透過標籤提供額外資訊。舉例來說,privateca.googleapis.com/ca/resource_state 會使用布林值判斷 CA 狀態是否已啟用,但會使用標籤 state 表示實際資源狀態。

監控使用布林值的計量表指標時,建議使用 COUNT 匯總工具建立快訊閾值。SUM 匯總函式只會加總布林值,而 COUNT 匯總函式則會加總時間序列的數量。舉例來說,如要判斷處於 DISABLED 狀態的 CA 數量,請為 state=DISABLED 建立篩選條件。使用 COUNT 匯總工具,判斷符合這項條件的 CA 數量。

Cloud Monitoring 費用

監控 CA 服務不會產生費用。

後續步驟