Monitorar conexões do Private Service Connect

O Private Service Connect expõe ao Cloud Monitoring as principais métricas que fornecem insights sobre suas conexões do Private Service Connect.

As métricas são enviadas automaticamente para o Monitoring. Lá, você pode criar painéis personalizados, configurar alertas e consultar as métricas.

Monitorar serviços publicados

É possível monitorar serviços publicados usando painéis predefinidos ou métricas do Google Cloud.

Ver painéis de serviços publicados

O Private Service Connect fornece um conjunto de painéis predefinidos que mostram as seguintes métricas para um serviço publicado:

  • Regras de encaminhamento conectadas
  • Endereços IP NAT em uso
  • Conexões abertas
  • Novas conexões
  • Conexões fechadas
  • Tráfego de rede
  • Pacotes da rede
  • Pacotes enviados descartados
  • Pacotes recebidos descartados

Para ver painéis predefinidos na página de detalhes de um determinado serviço publicado do Private Service Connect, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em um serviço atual.

  4. Clique na guia Monitoramento.

    Para alterar a visualização dos gráficos, use o controle na parte superior da página. Passe o cursor sobre um ponto no gráfico para ver detalhes sobre esse momento específico.

Métricas de serviços publicados

As strings "tipo de métrica" nesta tabela precisam ser prefixadas com compute.googleapis.com/. Esse prefixo foi omitido das entradas na tabela.

Para uma lista completa das métricas do Google Cloud, consulte Métricas do Google Cloud.

Tipo de métrica Etapa do lançamento
Nome de exibição
Classe, Tipo, Unidade
Recursos monitorados		 Descrição
Rótulos
private_service_connect/producer/closed_connections_count BETA
Contagem de conexões fechadas
DELTAINT64{connection}
gce_service_attachment 		Contagem de conexões fechadas por um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/connected_consumer_forwarding_rules GA
Regras de encaminhamento de consumidores conectadas
GAUGEINT641
gce_service_attachment 		Número de regras de encaminhamento de consumidores conectadas a um ID do anexo PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 165 segundos.
private_service_connect/producer/dropped_received_packets_count BETA
Contagem de pacotes recebidos descartada
DELTAINT64{packet}
gce_service_attachment 		Contagem de pacotes recebidos descartada por um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/dropped_sent_packets_count BETA
Contagem de pacotes enviados descartada
DELTAINT64{packet}
gce_service_attachment 		Contagem de pacotes enviados descartada por um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/new_connections_count BETA
Nova contagem de conexões
DELTAINT64{connection}
gce_service_attachment 		Contagem de novas conexões criadas por meio de um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/open_connections BETA
Conexões abertas
GAUGEINT64{connection}
gce_service_attachment 		Número de conexões atualmente abertas em um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/received_bytes_count BETA
Contagem de bytes recebidos
DELTAINT64By
gce_service_attachment 		Contagem de bytes recebidos (PSC -> Serviço) por um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/received_packets_count BETA
Contagem de pacotes recebidos
DELTAINT64{packet}
gce_service_attachment 		Contagem de pacotes recebidos (PSC -> Service) por um ID de anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/sent_bytes_count BETA
Contagem de bytes enviados
DELTAINT64By
gce_service_attachment 		Contagem de bytes enviados (Serviço -> PSC) por um ID do anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/sent_packets_count BETA
Contagem de pacotes enviados
DELTAINT64{packet}
gce_service_attachment 		Contagem de pacotes enviados (Serviço -> PSC) por um ID do anexo do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
psc_connection_id: O ID de conexão do Private Service Connect da regra de encaminhamento do Private Service Connect.
private_service_connect/producer/used_nat_ip_addresses GA
Endereços IP NAT usados
GAUGEINT641
gce_service_attachment 		Uso do IP do anexo de serviço monitorado. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 165 segundos.

Monitorar endpoints e back-ends

É possível monitorar endpoints que se conectam a serviços publicados usando painéis de controle ou métricas do Google Cloud. É possível monitorar back-ends que se conectam a serviços publicados usando as métricas do Google Cloud.

Mostrar painéis dos endpoints

O Private Service Connect oferece um conjunto de painéis predefinidos que exibem as seguintes métricas para endpoints que se conectam a serviços:

  • Conexões abertas
  • Novas conexões
  • Conexões fechadas
  • Tráfego de rede
  • Pacotes da rede
  • Pacotes enviados descartados
  • Pacotes recebidos descartados

Para visualizar painéis predefinidos na página de detalhes de um determinado endpoint do Private Service Connect, siga estas etapas:

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Endpoints conectados.

  3. Clique em um endpoint que se conecta a um serviço publicado.

  4. Clique na guia Monitoramento.

    Para alterar a visualização dos gráficos, use o controle na parte superior da página. Passe o cursor sobre um ponto no gráfico para ver detalhes sobre esse momento específico.

Métricas de endpoints e back-ends

Os endpoints e os back-ends do Private Service Connect são monitorados como recursos de endpoint do Private Service Connect.

As métricas nesta tabela não são geradas para endpoints ou back-ends que se conectar às APIs do Google.

As strings "tipo de métrica" nesta tabela precisam ser prefixadas com compute.googleapis.com/. Esse prefixo foi omitido das entradas na tabela.

Para uma lista completa das métricas do Google Cloud, consulte Métricas do Google Cloud.

Tipo de métrica Etapa do lançamento
Nome de exibição
Classe, Tipo, Unidade
Recursos monitorados		 Descrição
Rótulos
private_service_connect/consumer/closed_connections_count BETA
Contagem de conexões encerradas
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de conexões TCP/UDP encerradas por meio de um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/dropped_received_packets_count BETA
Contagem de pacotes recebidos descartados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de pacotes recebidos descartados por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/dropped_sent_packets_count BETA
Contagem de pacotes enviados descartados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de pacotes enviados descartados por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/new_connections_count BETA
Contagem de novas conexões
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de novas conexões TCP/UDP criadas por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/open_connections BETA
Conexões abertas
GAUGEINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de conexões TCP/UDP abertas em um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/received_bytes_count BETA
Contagem de bytes recebidos
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de bytes recebidos (PSC -> Clientes) por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/received_packets_count BETA
Contagem de pacotes recebidos
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de pacotes recebidos (PSC -> Clientes) por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/sent_bytes_count BETA
Contagem de bytes enviados
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de bytes enviados (Clientes -> PSC) por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.
private_service_connect/consumer/sent_packets_count BETA
Contagem de pacotes enviados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Contagem de pacotes enviados (Clientes -> PSC) por um ID de conexão do PSC. Amostras coletadas a cada 60 segundos. Após a amostragem, os dados não são visíveis por até 315 segundos.
ip_protocol: o protocolo da conexão. Pode ser TCP ou UDP.

Definir políticas de alertas

Para criar uma política de alertas baseada em métricas, siga estas etapas. Use um tipo de recurso Service Attachment para métricas sobre serviços publicados. Use um tipo de recurso Private Service Connect Endpoint para métricas sobre endpoints ou back-ends.

Console

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

  1. No console do Google Cloud, acesse a página  Alertas:

    Acessar Alertas

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça isto:
    1. Para limitar o menu a entradas relevantes, insira the resource type na barra de filtro. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione o tipo do recurso.
    3. Em Categoria de métrica, selecione Private_service_connect.
    4. Em Métrica, selecione a métrica a ser usada para esta política.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Selecione um tipo de condição e, se necessário, especifique um limite. Para mais informações, consulte Criar políticas de alertas de limite de métrica.
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Saiba mais em Políticas de alertas.

Ver registros

É possível ver os registros de endpoints do Private Service Connect e serviços publicados usando o Cloud Logging. O Cloud Logging é um serviço totalmente gerenciado que permite armazenar, pesquisar, analisar, monitorar e alertar sobre dados e eventos de geração de registros.

  • Os registros de auditoria permitem monitorar a atividade do Private Service Connect. Os registros de auditoria da atividade do administrador são sempre gravados.
  • Os registros de fluxo de VPC permitem monitorar o tráfego do Private Service Connect. É necessário ativar os registros de fluxo de VPC para cada sub-rede que você quer monitorar.

É possível usar esses registros para correlacionar eventos entre o consumidor e o produtor de serviços. Por exemplo, se o status da conexão de uma regra de encaminhamento do consumidor mudar inesperadamente, você poderá solicitar que o produtor de serviços verifique os registros para qualquer evento de exclusão ou atualização de anexo de serviço.

Console

  1. No console do Google Cloud, acesse a página do Explorador de registros.

    Acessar o Explorador de registros

  2. Se você não vir o campo do editor de consultas no painel Consulta, clique no botão de alternância Mostrar consulta.

  3. Insira uma consulta no campo "Editor de consultas". Por exemplo, para conferir a mudança de status de conexão de um endpoint, insira a consulta a seguir, substituindo CONSUMER_PROJECT_ID pelo ID do projeto do consumidor:

    resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"

    Para mais exemplos de consultas que podem ser executadas para consultar registros comuns eventos, consulte Eventos comuns de geração de registros para endpoints.

  4. Clique em Executar consulta.

Para mais informações sobre como consultar os registros de auditoria, consulte Como ver registros de auditoria.

Eventos de geração de registros comuns para serviços publicados

A tabela a seguir lista eventos de registro comuns para serviços publicados do Private Service Connect.

Descrição do evento Filtro avançado de geração de registros
Exclusão de anexos de serviço 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.delete"
Anexo de serviço que ativa a reconciliação de conexão 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.patch"
protoPayload.request.reconcileConnections="true"
Anexo de serviço que rejeita um URI de projeto do consumidor 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID"
Registros de fluxo de VPC para tráfego de uma sub-rede do Private Service Connect para qualquer instância de VM de back-end (incluindo nós do GKE) 
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~"VM_INSTANCE_PREFIX.*"

Substitua:

  • PRODUCER_PROJECT_ID: o ID do projeto do produtor de serviço.
  • CONSUMER_PROJECT_ID: o ID do projeto do consumidor de serviço.
  • PSC_SUBNET_REGEX: uma expressão regular que corresponde a na sub-rede do Private Service Connect. Por exemplo, substitua PSC_SUBNET_REGEX por 172\.16\.[0-1] se a sub-rede do Private Service Connect for 172.16.0.0/23.
  • VM_INSTANCE_PREFIX: o prefixo das instâncias de VM de back-end.

Eventos de geração de registros comuns para endpoints

A tabela a seguir lista eventos de geração de registros comuns para endpoints do Private Service Connect.

Descrição do evento Filtro avançado de geração de registros
Criação de endpoint do Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
Falha na criação do endpoint do Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
severity>=ERROR
Mudança no status de conexão do endpoint do Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
Conexão do endpoint do Private Service Connect rejeitada 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
protoPayload.metadata.pscConnectionStatus="REJECTED"
Cota PSC_INTERNAL_LB_FORWARDING_RULES excedida 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"QUOTA_EXCEEDED"
severity=ERROR
Registros de fluxo de VPC para o tráfego de uma instância de VM para um endpoint do Private Service Connect 
resource.type="gce_subnetwork"
logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_instance.vm_name="VM_INSTANCE_NAME"

Substitua:

  • CONSUMER_PROJECT_ID: o ID do projeto do consumidor de serviço.
  • PSC_ENDPOINT_IP_ADDRESS: o endereço IP do endpoint do Private Service Connect.
  • VM_INSTANCE_NAME: o nome de uma instância de VM de origem.

Problemas conhecidos

Métricas não geradas para acesso global entre regiões

Há um problema conhecido em que as métricas do Private Service Connect nesta página podem não ser geradas para consumidores ou produtores no seguinte cenário:

  • Um recurso de consumidor existe em uma região.
  • O recurso do consumidor acessa um Private Service Connect endpoint de API em uma região diferente com o acesso global.
  • A região do endpoint não contém nenhuma instância de máquina virtual (VM) do consumidor.

Alternativa

Para gerar métricas nesse cenário, crie uma instância de VM na mesma região do endpoint que está sendo acessado.

A seguir