Surveiller les connexions Private Service Connect
Private Service Connect expose des métriques clés à Cloud Monitoring, qui vous donnent des renseignements sur vos connexions Private Service Connect.
Les métriques sont envoyées automatiquement à Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger les métriques.
Surveiller les services publiés
Vous pouvez surveiller les services publiés à l'aide de tableaux de bord prédéfinis ou de métriques Google Cloud.
Afficher les tableaux de bord des services publiés
Private Service Connect fournit un ensemble de tableaux de bord prédéfinis qui affichent les métriques suivantes pour un service publié :
- Règles de transfert connectées
- Adresses IP NAT utilisées
- Connexions ouvertes
- Nouvelles connexions
- Connexions fermées
- Trafic réseau
- Paquets réseau
- Paquets envoyés supprimés
- Paquets reçus supprimés
Pour afficher les tableaux de bord prédéfinis à partir de la page des détails d'un service Private Service Connect publié, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Private Service Connect.
Cliquez sur l'onglet Services publiés.
Cliquez sur un service existant.
Cliquez sur l'onglet Surveillance.
Vous pouvez modifier l'affichage des graphiques à l'aide de la commande située en haut de la page. Passez la souris sur un point du graphique pour afficher les informations correspondantes.
Métriques pour les services publiés
Les chaînes "Type de métrique" de ce tableau doivent être précédées du préfixe compute.googleapis.com/
. Ce préfixe a été omis dans les entrées du tableau.
Pour obtenir la liste complète des métriques Google Cloud, consultez Métriques Google Cloud.
Type de métriqueÉtape de lancement Nom à afficher |
|
---|---|
Genre, type, unité Ressources surveillées |
Description Libellés |
private_service_connect/producer/closed_connections_count
BÊTA
Nombre de connexions fermées |
|
DELTA , INT64 , {connection} gce_service_attachment |
Nombre de connexions fermées via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/connected_consumer_forwarding_rules
GA
Règles de transfert client connectées |
|
GAUGE , INT64 , 1 gce_service_attachment |
Nombre de règles de transfert client associées à un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 165 secondes. |
private_service_connect/producer/dropped_received_packets_count
BÊTA
Nombre de paquets reçus supprimés |
|
DELTA , INT64 , {packet} gce_service_attachment |
Nombre de paquets reçus et supprimés par un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/dropped_sent_packets_count
BÊTA
Nombre de paquets envoyés supprimés |
|
DELTA , INT64 , {packet} gce_service_attachment |
Nombre de paquets envoyés et supprimés par un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/new_connections_count
BÊTA
Nombre de nouvelles connexions |
|
DELTA , INT64 , {connection} gce_service_attachment |
Nombre de connexions créées via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/open_connections
BÊTA
Connexions ouvertes |
|
GAUGE , INT64 , {connection} gce_service_attachment |
Nombre de connexions actuellement ouvertes sur un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/received_bytes_count
BÊTA
Nombre d'octets reçus |
|
DELTA , INT64 , By gce_service_attachment |
Nombre d'octets reçus (PSC -> service) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/received_packets_count
BÊTA
Nombre de paquets reçus |
|
DELTA , INT64 , {packet} gce_service_attachment |
Nombre de paquets reçus (PSC -> service) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/sent_bytes_count
BÊTA
Nombre d'octets envoyés |
|
DELTA , INT64 , By gce_service_attachment |
Nombre d'octets envoyés (service -> PSC) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/sent_packets_count
BÊTA
Nombre de paquets envoyés |
|
DELTA , INT64 , {packet} gce_service_attachment |
Nombre de paquets envoyés (service -> PSC) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
|
private_service_connect/producer/used_nat_ip_addresses
GA
Adresses IP NAT utilisées |
|
GAUGE , INT64 , 1 gce_service_attachment |
Utilisation d'adresses IP pour le rattachement de service surveillé. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 165 secondes. |
Surveiller les points de terminaison et les backends
Vous pouvez surveiller les points de terminaison qui se connectent aux services publiés à l'aide de tableaux de bord prédéfinis ou de métriques Google Cloud. Vous pouvez surveiller les backends qui se connectent aux services publiés à l'aide de métriques Google Cloud.
Afficher les tableaux de bord des points de terminaison
Private Service Connect fournit un ensemble de tableaux de bord prédéfinis qui affichent les métriques suivantes pour les points de terminaison qui se connectent aux services publiés :
- Connexions ouvertes
- Nouvelles connexions
- Connexions fermées
- Trafic réseau
- Paquets réseau
- Paquets envoyés supprimés
- Paquets reçus supprimés
Pour afficher les tableaux de bord prédéfinis à partir de la page des détails d'un point de terminaison Private Service Connect spécifique, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page Private Service Connect.
Cliquez sur l'onglet Points de terminaison connectés.
Cliquez sur un point de terminaison qui se connecte à un service publié.
Cliquez sur l'onglet Surveillance.
Vous pouvez modifier l'affichage des graphiques à l'aide de la commande située en haut de la page. Passez la souris sur un point du graphique pour afficher les informations correspondantes.
Métriques pour les points de terminaison et les backends
Les points de terminaison et les backends Private Service Connect sont surveillés en tant que ressources de point de terminaison Private Service Connect.
Les métriques de ce tableau ne sont pas générées pour les points de terminaison ou les backends qui se connectent aux API Google.
Les chaînes "Type de métrique" de ce tableau doivent être précédées du préfixe compute.googleapis.com/
. Ce préfixe a été omis dans les entrées du tableau.
Pour obtenir la liste complète des métriques Google Cloud, consultez Métriques Google Cloud.
Type de métriqueÉtape de lancement Nom à afficher |
|
---|---|
Genre, type, unité Ressources surveillées |
Description Libellés |
private_service_connect/consumer/closed_connections_count
BÊTA
Nombre de connexions fermées |
|
DELTA , INT64 , {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de connexions TCP/UDP fermées via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/dropped_received_packets_count
BÊTA
Nombre de paquets reçus supprimés |
|
DELTA , INT64 , {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de paquets reçus et supprimés par un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/dropped_sent_packets_count
BÊTA
Nombre de paquets envoyés supprimés |
|
DELTA , INT64 , {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de paquets envoyés et supprimés par un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/new_connections_count
BÊTA
Nombre de nouvelles connexions |
|
DELTA , INT64 , {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de connexions TCP/UDP créées via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/open_connections
BÊTA
Connexions ouvertes |
|
GAUGE , INT64 , {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de connexions TCP/UDP actuellement ouvertes sur un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/received_bytes_count
BÊTA
Nombre d'octets reçus |
|
DELTA , INT64 , By
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre d'octets reçus (PSC -> clients) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/received_packets_count
BÊTA
Nombre de paquets reçus |
|
DELTA , INT64 , {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de paquets reçus (PSC -> clients) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/sent_bytes_count
BÊTA
Nombre d'octets envoyés |
|
DELTA , INT64 , By
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre d'octets envoyés (clients -> PSC) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
private_service_connect/consumer/sent_packets_count
BÊTA
Nombre de paquets envoyés |
|
DELTA , INT64 , {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
Nombre de paquets envoyés (clients -> PSC) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
|
Définir des règles d'alerte
Pour créer une règle d'alerte basée sur les métriques, procédez comme suit. Utilisez un type de ressource Service Attachment
pour les métriques sur les services publiés. Utilisez un type de ressource Private Service Connect
Endpoint
pour les métriques sur les points de terminaison ou les backends.
Console
Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.
-
Dans la console Google Cloud, accédez à la page notificationsAlertes :
Accéder à l'interface des alertes
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.
- Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
- Sur la page Alertes, cliquez sur Créer une règle.
- Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
- Pour limiter le menu aux entrées pertinentes, saisissez
the resource type
dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives. - Dans le champ Type de ressource, sélectionnez le type de ressource.
- Dans le champ Catégorie de métrique, sélectionnez Private_service_connect.
- Dans le champ Métrique, sélectionnez la métrique à utiliser pour cette règle.
- Sélectionnez Appliquer.
- Pour limiter le menu aux entrées pertinentes, saisissez
- Cliquez sur Suivant.
- Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
- Cliquez sur Suivant.
- Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
- (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
- Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
- Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
- Cliquez sur Créer une stratégie.
Afficher les journaux
Vous pouvez afficher les journaux des points de terminaison Private Service Connect et des services publiés à l'aide de Cloud Logging. Cloud Logging est un service entièrement géré qui vous permet de stocker, de rechercher, d'analyser et de surveiller les données et les événements de journalisation, puis de déclencher des alertes le cas échéant.
- Les journaux d'audit vous permettent de surveiller l'activité de Private Service Connect. Les journaux d'audit des activités d'administration sont systématiquement écrits.
- Les journaux de flux VPC vous permettent de surveiller le trafic Private Service Connect. Vous devez activer les journaux de flux VPC pour chaque sous-réseau que vous souhaitez surveiller.
Vous pouvez utiliser ces journaux pour corréler les événements entre le client du service et le producteur de services. Par exemple, si l'état de connexion d'une règle de transfert client change de manière inattendue, vous pouvez demander au producteur de services de vérifier ses journaux pour tout événement de suppression ou de mise à jour de rattachement de service.
Console
Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Si le champ de l'éditeur de requête n'apparaît pas dans le volet Query (Requête), cliquez sur le bouton Show query (Afficher la requête).
Dans le champ de l'éditeur de requête, saisissez une requête. Par exemple, pour afficher le changement d'état de connexion d'un point de terminaison, saisissez la requête suivante en remplaçant
CONSUMER_PROJECT_ID
par l'ID du projet client :resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate"
Pour obtenir d'autres exemples de requêtes que vous pouvez exécuter pour afficher des événements de journalisation courants, consultez la section Événements de journalisation courants pour les points de terminaison.
Cliquez sur Exécuter la requête.
Pour plus d'informations sur l'interrogation des journaux d'audit, consultez la section Afficher les journaux d'audit.
Événements de journalisation courants pour les services publiés
Le tableau suivant répertorie les événements de journalisation courants pour les services Private Service Connect publiés.
Description de l'événement | Filtre avancé Logging |
---|---|
Suppression d'un rattachement de service | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.delete" |
Rattachement de service activant le rapprochement des connexions | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.patch" protoPayload.request.reconcileConnections="true" |
Rattachement de service refusant un URI de projet client | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID" |
Journaux de flux VPC pour le trafic provenant d'un sous-réseau Private Service Connect vers n'importe quelle instance de VM backend (y compris les nœuds GKE) |
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~" |
Remplacez les éléments suivants :
PRODUCER_PROJECT_ID
: ID de projet du producteur de services.CONSUMER_PROJECT_ID
: ID de projet du client de service.PSC_SUBNET_REGEX
: expression régulière qui correspond à un modèle du sous-réseau Private Service Connect. Par exemple, remplacezPSC_SUBNET_REGEX
par172\.16\.[0-1]
si le sous-réseau Private Service Connect est172.16.0.0/23
.VM_INSTANCE_PREFIX
: préfixe des instances de VM de backend.
Événements de journalisation courants pour les points de terminaison
Le tableau suivant répertorie les événements de journalisation courants pour les points de terminaison Private Service Connect.
Description de l'événement | Filtre avancé Logging |
---|---|
Création d'un point de terminaison Private Service Connect | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate" |
Échec de création d'un point de terminaison Private Service Connect | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate" severity>=ERROR |
Modification de l'état de la connexion du point de terminaison Private Service Connect | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate" |
Refus de connexion du point de terminaison Private Service Connect | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate" protoPayload.metadata.pscConnectionStatus="REJECTED" |
Quota PSC_INTERNAL_LB_FORWARDING_RULES dépassé |
resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "QUOTA_EXCEEDED" severity=ERROR |
Journaux de flux VPC pour le trafic depuis une instance de VM vers un point de terminaison Private Service Connect | resource.type="gce_subnetwork" logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_ip=" |
Remplacez les éléments suivants :
CONSUMER_PROJECT_ID
: ID de projet du client de service.PSC_ENDPOINT_IP_ADDRESS
: adresse IP du point de terminaison Private Service Connect.VM_INSTANCE_NAME
: nom d'une instance de VM source.
Problèmes connus
Métriques non générées pour l'accès mondial interrégional
Il existe un problème connu avec lequel les métriques Private Service Connect de la présente page peuvent ne pas être générées pour les consommateurs ou les producteurs dans le scénario suivant :
- Une ressource client existe dans une région.
- La ressource cliente accède à un point de terminaison Private Service Connect dans une autre région à l'aide de l'accès mondial.
- La région du point de terminaison ne contient aucune instance de machine virtuelle (VM) grand public.
Solution
Pour générer des métriques dans ce scénario, créez une instance de VM dans la même région que le point de terminaison auquel vous accédez.