使用 Cloud Monitoring 監控資源
Cloud Monitoring 可用來監控針對憑證授權單位服務中的資源執行的作業。
事前準備
如果您尚未設定專案,請先設定專案並啟用 Certificate Authority Service API。 Google Cloud 詳情請參閱「準備環境」。
在 Cloud Monitoring 中查看指標
控制台
如要使用 Metrics Explorer 查看受監控資源的指標,請按照下列步驟操作:
-
前往 Google Cloud 控制台的 leaderboard「Metrics Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 在 Google Cloud 控制台的工具列中,選取您的 Google Cloud 專案。 如要進行 App Hub 設定,請選取 App Hub 主專案或已啟用應用程式的資料夾管理專案。
- 在「指標」元素中,展開「選取指標」選單,
在篩選列中輸入
Certificate Authority
, 然後使用子選單選取特定資源類型和指標:- 在「Active resources」(有效資源) 選單中,選取「Certificate Authority」(憑證授權單位)。
- 如要選取指標,請使用「使用中的指標類別」和「使用中的指標」選單。 如需指標清單,請參閱「privateca 指標」。
- 按一下 [套用]。
如要從顯示畫面中移除時間序列,請使用「篩選器」元素。
如要合併時間序列,請使用「Aggregation」元素上的選單。舉例來說,如要依據 VM 的所在區域顯示 CPU 使用率,請將第一個選單設為「平均值」,第二個選單設為「區域」。
將「Aggregation」(匯總) 元素的第一個選單設為「Unaggregated」(未匯總) 時,系統會顯示所有時間序列。「匯總」元素的預設設定取決於您選取的指標類型。
- 如要取得每日一個樣本的配額和其他指標,請按照下列步驟操作:
- 在「顯示」窗格中,將「小工具類型」設為「堆疊長條圖」。
- 將時間範圍設為至少一週。
CA 服務指標
如要查看指標清單,請參閱 Cloud Monitoring 說明文件。
如要查看受監控資源說明文件,請參閱「受監控資源」。
設定配額快訊和監控功能
您可以使用 Cloud Monitoring 設定配額用量快訊和監控。
如要進一步瞭解如何設定快訊及建立圖表,請參閱「設定配額快訊和監控」。
啟用建議的快訊
請按照下列說明啟用建議的快訊。
控制台
建立快訊政策
控制台
您可以建立快訊政策來監控指標值,並在指標違反條件時收到通知。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 如果您尚未建立通知管道,但想收到通知,請按一下「編輯通知管道」,然後新增通知管道。新增管道後,返回「快訊」頁面。
- 在「Alerting」(快訊) 頁面中,選取「Create policy」(建立政策)。
- 如要選取指標,請展開「選取指標」選單,然後執行下列操作:
- 如要將選單限制為相關項目,請在篩選列中輸入
Certificate Authority
。如果篩選選單後沒有任何結果,請停用「僅顯示活躍的資源和指標」切換按鈕。 - 在「資源類型」部分,選取「憑證授權單位」。
- 在「指標類別」部分,選取「Ca」。
- 在「指標」中,從私有 CA 指標清單中選取指標。
- 選取 [Apply] (套用)。
- 如要將選單限制為相關項目,請在篩選列中輸入
- 點選「下一步」。
- 「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。 選取條件類型,並視需要指定門檻。詳情請參閱建立指標閾值快訊政策。
- 點選「下一步」。
- 選用:如要新增通知至您的快訊政策,請按一下「通知管道」。在對話方塊中,從選單選取一或多個通知管道,然後按一下「確定」。
- 選用:更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
- 選用:按一下「說明文件」,然後在通知訊息中新增任何資訊。
- 按一下「快訊名稱」,然後輸入快訊政策的名稱。
- 點選「建立政策」。
建立 Pub/Sub 通知管道
如要設定將事件發布至 Pub/Sub 的通知管道,請按照這些操作說明進行。
快訊政策範例
您可以參考下列範例快訊政策,瞭解常見的 CA 服務監控用途。
如要進一步瞭解快訊政策,請參閱說明文件。
憑證授權單位將於 30 天後到期
這項快訊政策會在受管理 CA 到期前 30 天通知您。這項政策會為所有專案中所有受管理 CA 建立快訊通知,這些專案的指標會顯示在 Google Cloud 控制台專案選擇工具Google Cloud 中選取的專案。如要瞭解指標曝光度,請參閱「瞭解指標範圍」。
控制台
您可以建立快訊政策來監控指標值,並在指標違反條件時收到通知。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 如果您尚未建立通知管道,但想收到通知,請按一下「編輯通知管道」,然後新增通知管道。新增管道後,返回「快訊」頁面。
- 在「Alerting」(快訊) 頁面中,選取「Create policy」(建立政策)。
- 如要選取指標,請展開「選取指標」選單,然後執行下列操作:
- 點選「下一步」。
- 「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。
按照下表中的設定完成這個頁面。
「設定快訊觸發條件」頁面
欄位
值Condition type
Threshold
Alert trigger
Any time series violates
Threshold position
Below threshold
Threshold value
2592000000 ms
Advanced Options: Retest window
No retest
- 點選「下一步」。
- 選用:如要新增通知至您的快訊政策,請按一下「通知管道」。在對話方塊中,從選單選取一或多個通知管道,然後按一下「確定」。
- 選用:更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
- 選用:按一下「說明文件」,然後在通知訊息中新增任何資訊。
- 按一下「快訊名稱」,然後輸入快訊政策的名稱。
- 點選「建立政策」。
gcloud
將下列政策貼到名為 ca-expiration-policy.yaml
的檔案中:
combiner: OR
conditions:
- conditionThreshold:
aggregations:
- alignmentPeriod: 60s
perSeriesAligner: ALIGN_MEAN
comparison: COMPARISON_LT
duration: 0s
filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
thresholdValue: 2592000.0
trigger:
count: 1
displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true
使用下列指令建立快訊政策:
gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml
建立快訊政策後,請按照「管理通知管道」一文的說明,視需要建立或更新現有通知管道。如要將通知管道新增至現有快訊政策,請按照「更新政策中的通知管道」一文的說明操作。
憑證建立失敗率過高
如果因 CA 政策或驗證失敗而導致憑證建立失敗的比例超過 0.2
門檻,這項快訊政策就會通知您。這項政策會為所有專案中所有受管理 CA 建立快訊通知,這些專案的指標會顯示在 Google Cloud 控制台專案選擇工具Google Cloud 中選取的專案。如要瞭解指標曝光度,請參閱「瞭解指標範圍」。
gcloud
將下列政策貼到名為 cert-create-failure.yaml
的檔案中:
displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
aggregations:
- alignmentPeriod: 300s
crossSeriesReducer: REDUCE_SUM
groupByFields:
- resource.label.resource_container
- resource.label.location
- resource.label.certificate_authority_id
perSeriesAligner: ALIGN_DELTA
denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
resource.type="privateca.googleapis.com/CertificateAuthority"
denominatorAggregations:
- alignmentPeriod: 300s
perSeriesAligner: ALIGN_DELTA
comparison: COMPARISON_GT
duration: 0s
thresholdValue: 0.2
trigger:
count: 1
displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'
使用下列指令建立快訊政策:
gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml
建立快訊政策後,請按照「管理通知管道」一文的說明,視需要建立或更新現有通知管道。如要將通知管道新增至現有快訊政策,請按照「更新政策中的通知管道」一文的說明操作。
這項政策的用途
這項政策會計算失敗要求與要求總數的比率。如果比率在 5 分鐘的對齊期間內超過 20% (也就是比率大於 0.2),這項政策就會觸發快訊通知。
條件中的篩選器會選取憑證建立失敗次數,也就是比率的分子。由於這項指標有額外標籤,因此分子會依專案、位置和 CA 資源 ID 匯總。條件中的分母篩選器會選取憑證建立要求數量。
達到門檻後,政策會立即觸發快訊通知,因為條件的允許時間為 0 秒。這項政策使用 1 個觸發次數,也就是違反條件的時間序列數量,達到這個數量就會觸發快訊通知。
監控計量表指標
量規指標會測量特定時間點的值。舉例來說,privateca.googleapis.com/ca/resource_state
或 privateca.googleapis.com/kms/key_issue
是計量表指標。這些指標會使用布林值,並透過標籤提供額外資訊。舉例來說,privateca.googleapis.com/ca/resource_state
會使用布林值判斷 CA 狀態是否已啟用,但會使用標籤 state
表示實際資源狀態。
監控使用布林值的計量表指標時,建議使用 COUNT
匯總工具建立快訊閾值。SUM
匯總函式只會加總布林值,而 COUNT
匯總函式則會加總時間序列的數量。舉例來說,如要判斷處於 DISABLED
狀態的 CA 數量,請為 state=DISABLED
建立篩選條件。使用 COUNT
匯總工具,判斷符合這項條件的 CA 數量。
Cloud Monitoring 費用
監控 CA 服務不會產生費用。