Cloud Monitoring을 사용한 리소스 모니터링

Cloud Monitoring을 사용해 Certificate Authority Service에서 리소스에 수행된 작업을 모니터링할 수 있습니다.

시작하기 전에

아직 Certificate Authority Service API가 사용 설정된 Google Cloud 프로젝트를 설정하지 않았다면 설정합니다. 자세한 내용은 환경 준비를 참조하세요.

Cloud Monitoring에서 측정항목 보기

콘솔

측정항목 탐색기를 사용하여 모니터링 리소스의 측정항목을 확인하려면 다음을 수행하세요.

  1. Google Cloud 콘솔에서  측정항목 탐색기 페이지로 이동합니다.

    측정항목 탐색기로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

  2. 측정항목 요소에서 측정항목 선택 메뉴를 펼치고 필터 표시줄에 Certificate Authority을 입력한 후 하위 메뉴를 사용하여 특정 리소스 유형과 측정항목을 선택합니다.
    1. 활성 리소스 메뉴에서 인증 기관을 선택합니다.
    2. 측정항목을 선택하려면 활성 측정항목 카테고리활성 측정항목 메뉴를 사용합니다. 측정항목 목록은 비공개 측정항목을 참조하세요.
    3. 적용을 클릭합니다.
  3. 디스플레이에서 시계열을 삭제하려면 필터 요소를 사용합니다.

  4. 시계열을 조합하려면 집계 요소의 메뉴를 사용합니다. 예를 들어 VM의 CPU 사용률을 영역에 따라 표시하려면 첫 번째 메뉴를 평균으로, 두 번째 메뉴를 영역으로 설정합니다.

    집계 요소의 첫 번째 메뉴가 집계되지 않음으로 설정되면 모든 시계열이 표시됩니다. 집계 요소 기본 설정은 선택한 측정항목 유형에 따라 결정됩니다.

  5. 하루에 샘플 하나를 보고하는 할당량과 기타 측정항목의 경우 다음을 수행합니다.
    1. 표시 창에서 위젯 유형누적 막대 그래프로 설정합니다.
    2. 기간을 최소 1주일로 설정합니다.

CA Service 측정항목

측정항목 목록은 Cloud Monitoring 문서에서 확인할 수 있습니다.

모니터링 리소스 문서는 모니터링 리소스에서 볼 수 있습니다.

다음 안내에 따라 추천 알림을 사용 설정합니다.

콘솔

  1. Google Cloud 콘솔의 CA Service 개요 페이지로 이동합니다.

    Certificate Authority Service

  2. 개요 페이지 오른쪽 상단에서 + 추천 알림 5개를 클릭합니다.

  3. 설명을 읽고 각 알림을 사용 설정하거나 중지합니다.

    • 일부 알림은 커스텀 기준점을 지원합니다. 예를 들어 만료되는 CA 인증서에 대한 알림을 받을 시점 또는 높은 비율의 인증서 생성 실패에 대한 오류율을 지정할 수 있습니다.
    • 모든 알림은 알림 채널을 지원합니다.
  4. 선택한 모든 알림을 사용 설정한 후 제출을 클릭합니다.

알림 정책 만들기

콘솔

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

  1. Google Cloud 콘솔에서  알림 페이지로 이동합니다.

    알림으로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

  2. 알림 채널을 만들지 않고 알림을 받으려면 알림 채널 수정을 클릭하고 알림 채널을 추가합니다. 채널을 추가한 후 알림 페이지로 돌아갑니다.
  3. 알림 페이지에서 정책 만들기를 클릭합니다.
  4. 측정항목을 선택하려면 측정항목 선택 메뉴를 확장한 후 다음을 수행합니다.
    1. 메뉴를 관련 항목으로 제한하려면 필터 표시줄에 Certificate Authority을 입력합니다. 메뉴를 필터링한 후 결과가 없으면 활성 리소스 및 측정항목만 표시 전환을 중지합니다.
    2. 리소스 유형에서 인증 기관을 선택합니다.
    3. 측정항목 카테고리에서 CA를 선택합니다.
    4. 측정항목privateca 측정항목 목록에서 측정항목을 선택합니다.
    5. 적용을 선택합니다.
  5. 다음을 클릭합니다.
  6. 알림 트리거 구성 페이지의 설정에 따라 알림이 트리거되는 시점이 결정됩니다. 조건 유형을 선택하고 필요한 경우 기준점을 지정합니다. 자세한 내용은 측정항목 기준점 알림 정책 만들기를 참조하세요.
  7. 다음을 클릭합니다.
  8. 선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.
  9. 선택사항: 이슈 자동 종료 기간을 업데이트합니다. 이 필드는 측정항목 데이터가 없어 Monitoring에서 이슈를 닫을 시간을 결정합니다.
  10. 선택사항: 문서를 클릭한 후 알림 메시지에 포함할 정보를 추가합니다.
  11. 알림 이름을 클릭하고 알림 정책 이름을 입력합니다.
  12. 정책 만들기를 클릭합니다.
자세한 내용은 알림 정책을 참조하세요.

Pub/Sub 알림 채널 만들기

이 안내에 따라 Pub/Sub에 이벤트를 게시하는 알림 채널을 설정할 수 있습니다.

샘플 알림 정책

일반적인 CA Service 모니터링 사용 사례에 다음 샘플 알림 정책을 사용할 수 있습니다.

알림 정책에 대한 자세한 내용은 이 문서를 참조하세요.

30일 후에 만료되는 CA

이 알림 정책은 관리형 CA가 만료되기 30일 전에 알려줍니다. 이 정책은 Google Cloud 콘솔 프로젝트 선택 도구에서 선택한 Google Cloud 프로젝트에 측정항목이 표시되는 모든 프로젝트의 모든 관리형 CA에 대한 알림을 만듭니다. 측정항목 공개 상태에 대한 자세한 내용은 측정항목 범위 이해를 참조하세요.

콘솔

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

  1. Google Cloud 콘솔에서  알림 페이지로 이동합니다.

    알림으로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

  2. 알림 채널을 만들지 않고 알림을 받으려면 알림 채널 수정을 클릭하고 알림 채널을 추가합니다. 채널을 추가한 후 알림 페이지로 돌아갑니다.
  3. 알림 페이지에서 정책 만들기를 클릭합니다.
  4. 측정항목을 선택하려면 측정항목 선택 메뉴를 확장한 후 다음을 수행합니다.
    1. 메뉴를 관련 항목으로 제한하려면 필터 표시줄에 Certificate Authority을 입력합니다. 메뉴를 필터링한 후 결과가 없으면 활성 리소스 및 측정항목만 표시 전환을 중지합니다.
    2. 리소스 유형에서 인증 기관을 선택합니다.
    3. 측정항목 카테고리에서 CA를 선택합니다.
    4. 측정항목에서 ca/cert_expiration을 선택합니다.
    5. 적용을 선택합니다.
  5. 다음을 클릭합니다.
  6. 알림 트리거 구성 페이지의 설정에 따라 알림이 트리거되는 시점이 결정됩니다. 다음 표의 설정으로 이 페이지를 작성합니다.
    알림 트리거 구성 페이지
    필드

    Condition type Threshold
    Alert trigger Any time series violates
    Threshold position Below threshold
    Threshold value 2592000000 ms
    Advanced Options: Retest window No retest
  7. 다음을 클릭합니다.
  8. 선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.
  9. 선택사항: 이슈 자동 종료 기간을 업데이트합니다. 이 필드는 측정항목 데이터가 없어 Monitoring에서 이슈를 닫을 시간을 결정합니다.
  10. 선택사항: 문서를 클릭한 후 알림 메시지에 포함할 정보를 추가합니다.
  11. 알림 이름을 클릭하고 알림 정책 이름을 입력합니다.
  12. 정책 만들기를 클릭합니다.
자세한 내용은 알림 정책을 참조하세요.

gcloud

다음 정책을 ca-expiration-policy.yaml 파일에 붙여넣습니다.

combiner: OR
conditions:
- conditionThreshold:
    aggregations:
    - alignmentPeriod: 60s
      perSeriesAligner: ALIGN_MEAN
    comparison: COMPARISON_LT
    duration: 0s
    filter: metric.type="privateca.googleapis.com/ca/cert_expiration" resource.type="privateca.googleapis.com/CertificateAuthority"
    thresholdValue: 2592000.0
    trigger:
      count: 1
  displayName: CA certificate expiration
displayName: CA expiring in 30 days
enabled: true

다음 명령어를 사용하여 알림 정책을 만듭니다.

gcloud alpha monitoring policies create --policy-from-file ca-expiration-policy.yaml

알림 정책을 만든 후 알림 채널 관리에 따라 알림 채널을 만들거나 필요한 경우 기존 알림 채널을 업데이트합니다. 기존 알림 정책에 알림 채널을 추가하려면 정책에서 알림 채널 업데이트를 수행합니다.

높은 인증서 생성 실패율

이 알림 정책은 CA 정책 또는 검증 실패로 인한 인증서 생성 실패 비율이 기준점인 0.2를 초과하면 알려줍니다. 이 정책은 Google Cloud 콘솔 프로젝트 선택 도구에서 선택한 Google Cloud 프로젝트에 측정항목이 표시되는 모든 프로젝트의 모든 관리형 CA에 대한 알림을 만듭니다. 측정항목 공개 상태에 대한 자세한 내용은 측정항목 범위 이해를 참조하세요.

gcloud

다음 정책을 cert-create-failure.yaml 파일에 붙여넣습니다.

displayName: High rate of certificate creation failures
enabled: true
combiner: OR
conditions:
- conditionThreshold:
    filter: metric.type="privateca.googleapis.com/ca/cert/create_failure_count" resource.type="privateca.googleapis.com/CertificateAuthority"
    aggregations:
    - alignmentPeriod: 300s
      crossSeriesReducer: REDUCE_SUM
      groupByFields:
      - resource.label.resource_container
      - resource.label.location
      - resource.label.certificate_authority_id
      perSeriesAligner: ALIGN_DELTA
    denominatorFilter: metric.type="privateca.googleapis.com/ca/cert/create_request_count"
      resource.type="privateca.googleapis.com/CertificateAuthority"
    denominatorAggregations:
    - alignmentPeriod: 300s
      perSeriesAligner: ALIGN_DELTA
    comparison: COMPARISON_GT
    duration: 0s
    thresholdValue: 0.2
    trigger:
      count: 1
  displayName: 'Ratio: Certificate creation CA policy error count / Total certificate creation request count'

다음 명령어를 사용하여 알림 정책을 만듭니다.

gcloud alpha monitoring policies create --policy-from-file cert-create-failure.yaml

알림 정책을 만든 후 알림 채널 관리에 따라 알림 채널을 만들거나 필요한 경우 기존 알림 채널을 업데이트합니다. 기존 알림 정책에 알림 채널을 추가하려면 정책에서 알림 채널 업데이트를 수행합니다.

이 정책의 기능

이 정책은 총 요청 대비 실패율을 계산합니다. 5분 정렬 기간 동안 비율이 20%를 초과(즉, 0.2 이상)하면 정책에서 알림을 트리거합니다.

조건의 필터에서 비율의 분자로 사용되는 인증서 생성 실패 수를 선택합니다. 이 측정항목에는 추가 라벨이 있으므로 분자는 프로젝트, 위치, CA 리소스 ID별로 집계합니다. 조건의 분모 필터에서 인증서 생성 요청 수를 선택합니다.

조건에서 허용되는 기간이 0초이므로 기준점에 도달하면 정책이 즉시 알림을 트리거합니다. 이 정책은 알림을 트리거하기 위해 조건을 위반해야 하는 시계열 수인 트리거 수 1을 사용합니다.

게이지 측정항목 모니터링

게이지 측정항목은 특정 시점의 값을 측정합니다. 예를 들어 privateca.googleapis.com/ca/resource_state 또는 privateca.googleapis.com/kms/key_issue가 게이지 측정항목입니다. 이러한 측정항목은 불리언 값을 사용하고 라벨을 사용하여 추가 정보를 제공합니다. 예를 들어 privateca.googleapis.com/ca/resource_state는 CA 상태가 사용 설정됨인지 여부를 나타내기 위해 불리언을 사용하지만 실제 리소스 상태를 나타낼 때는 state 라벨을 사용합니다.

불리언 값을 사용하는 게이지 측정항목을 모니터링할 때는 COUNT 애그리게이터를 사용하여 알림 기준점을 빌드하는 것이 좋습니다. SUM 애그리게이터는 불리언 값만 합산하고 COUNT 애그리게이터는 시계열의 수를 합산합니다. 예를 들어 DISABLED 상태인 CA 수를 확인하려면 state=DISABLED에 대한 필터를 만들어야 합니다. COUNT 애그리게이터를 사용하여 이 조건과 일치하는 CA 수를 파악합니다.

Cloud Monitoring 비용

CA Service 모니터링은 무료로 사용할 수 있습니다.

다음 단계