Surveiller les connexions Private Service Connect

Private Service Connect expose des métriques clés à Cloud Monitoring, qui vous donnent des renseignements sur vos connexions Private Service Connect.

Les métriques sont envoyées automatiquement à Monitoring. Vous pouvez y créer des tableaux de bord personnalisés, configurer des alertes et interroger les métriques.

Surveiller les services publiés

Vous pouvez surveiller les services publiés à l'aide de tableaux de bord prédéfinis ou de métriques Google Cloud.

Afficher les tableaux de bord des services publiés

Private Service Connect fournit un ensemble de tableaux de bord prédéfinis qui affichent les métriques suivantes pour un service publié :

  • Règles de transfert connectées
  • Adresses IP NAT utilisées
  • Connexions ouvertes
  • Nouvelles connexions
  • Connexions fermées
  • Trafic réseau
  • Paquets réseau
  • Paquets envoyés supprimés
  • Paquets reçus supprimés

Pour afficher les tableaux de bord prédéfinis à partir de la page des détails d'un service Private Service Connect publié, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Private Service Connect.

    Accéder à Private Service Connect

  2. Cliquez sur l'onglet Services publiés.

  3. Cliquez sur un service existant.

  4. Cliquez sur l'onglet Surveillance.

    Vous pouvez modifier l'affichage des graphiques à l'aide de la commande située en haut de la page. Passez la souris sur un point du graphique pour afficher les informations correspondantes.

Métriques pour les services publiés

Les chaînes "Type de métrique" de ce tableau doivent être précédées du préfixe compute.googleapis.com/. Ce préfixe a été omis dans les entrées du tableau.

Pour obtenir la liste complète des métriques Google Cloud, consultez Métriques Google Cloud.

Type de métriqueÉtape de lancement
Nom à afficher
Genre, type, unité
Ressources surveillées		 Description
Libellés
private_service_connect/producer/closed_connections_count BÊTA
Nombre de connexions fermées
DELTAINT64{connection}
gce_service_attachment 		Nombre de connexions fermées via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/connected_consumer_forwarding_rules GA
Règles de transfert client connectées
GAUGEINT641
gce_service_attachment 		Nombre de règles de transfert client associées à un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 165 secondes.
private_service_connect/producer/dropped_received_packets_count BÊTA
Nombre de paquets reçus supprimés
DELTAINT64{packet}
gce_service_attachment 		Nombre de paquets reçus et supprimés par un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/dropped_sent_packets_count BÊTA
Nombre de paquets envoyés supprimés
DELTAINT64{packet}
gce_service_attachment 		Nombre de paquets envoyés et supprimés par un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/new_connections_count BÊTA
Nombre de nouvelles connexions
DELTAINT64{connection}
gce_service_attachment 		Nombre de connexions créées via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/open_connections BÊTA
Connexions ouvertes
GAUGEINT64{connection}
gce_service_attachment 		Nombre de connexions actuellement ouvertes sur un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/received_bytes_count BÊTA
Nombre d'octets reçus
DELTAINT64By
gce_service_attachment 		Nombre d'octets reçus (PSC -> service) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/received_packets_count BÊTA
Nombre de paquets reçus
DELTAINT64{packet}
gce_service_attachment 		Nombre de paquets reçus (PSC -> service) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/sent_bytes_count BÊTA
Nombre d'octets envoyés
DELTAINT64By
gce_service_attachment 		Nombre d'octets envoyés (service -> PSC) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/sent_packets_count BÊTA
Nombre de paquets envoyés
DELTAINT64{packet}
gce_service_attachment 		Nombre de paquets envoyés (service -> PSC) via un ID de rattachement PSC. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
psc_connection_id : ID de connexion Private Service Connect de la règle de transfert Private Service Connect.
private_service_connect/producer/used_nat_ip_addresses GA
Adresses IP NAT utilisées
GAUGEINT641
gce_service_attachment 		Utilisation d'adresses IP pour le rattachement de service surveillé. Échantillonné toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 165 secondes.

Surveiller les points de terminaison et les backends

Vous pouvez surveiller les points de terminaison qui se connectent aux services publiés à l'aide de tableaux de bord prédéfinis ou de métriques Google Cloud. Vous pouvez surveiller les backends qui se connectent aux services publiés à l'aide de métriques Google Cloud.

Afficher les tableaux de bord des points de terminaison

Private Service Connect fournit un ensemble de tableaux de bord prédéfinis qui affichent les métriques suivantes pour les points de terminaison qui se connectent aux services publiés :

  • Connexions ouvertes
  • Nouvelles connexions
  • Connexions fermées
  • Trafic réseau
  • Paquets réseau
  • Paquets envoyés supprimés
  • Paquets reçus supprimés

Pour afficher les tableaux de bord prédéfinis à partir de la page des détails d'un point de terminaison Private Service Connect spécifique, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Private Service Connect.

    Accéder à Private Service Connect

  2. Cliquez sur l'onglet Points de terminaison connectés.

  3. Cliquez sur un point de terminaison qui se connecte à un service publié.

  4. Cliquez sur l'onglet Surveillance.

    Vous pouvez modifier l'affichage des graphiques à l'aide de la commande située en haut de la page. Passez la souris sur un point du graphique pour afficher les informations correspondantes.

Métriques pour les points de terminaison et les backends

Les points de terminaison et les backends Private Service Connect sont surveillés en tant que ressources de point de terminaison Private Service Connect.

Les métriques de ce tableau ne sont pas générées pour les points de terminaison ou les backends qui se connectent aux API Google.

Les chaînes "Type de métrique" de ce tableau doivent être précédées du préfixe compute.googleapis.com/. Ce préfixe a été omis dans les entrées du tableau.

Pour obtenir la liste complète des métriques Google Cloud, consultez Métriques Google Cloud.

Type de métriqueÉtape de lancement
Nom à afficher
Genre, type, unité
Ressources surveillées		 Description
Libellés
private_service_connect/consumer/closed_connections_count BÊTA
Nombre de connexions fermées
DELTA, INT64, {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de connexions TCP/UDP fermées via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/dropped_received_packets_count BÊTA
Nombre de paquets reçus supprimés
DELTA, INT64, {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de paquets reçus et supprimés par un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/dropped_sent_packets_count BÊTA
Nombre de paquets envoyés supprimés
DELTA, INT64, {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de paquets envoyés et supprimés par un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/new_connections_count BÊTA
Nombre de nouvelles connexions
DELTA, INT64, {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de connexions TCP/UDP créées via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/open_connections BÊTA
Connexions ouvertes
GAUGE, INT64, {connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de connexions TCP/UDP actuellement ouvertes sur un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/received_bytes_count BÊTA
Nombre d'octets reçus
DELTA, INT64, By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre d'octets reçus (PSC -> clients) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/received_packets_count BÊTA
Nombre de paquets reçus
DELTA, INT64, {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de paquets reçus (PSC -> clients) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/sent_bytes_count BÊTA
Nombre d'octets envoyés
DELTA, INT64, By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre d'octets envoyés (clients -> PSC) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.
private_service_connect/consumer/sent_packets_count BÊTA
Nombre de paquets envoyés
DELTA, INT64, {packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Nombre de paquets envoyés (clients -> PSC) via un ID de connexion PSC. Cette valeur est échantillonnée toutes les 60 secondes. Après échantillonnage, les données ne sont pas visibles pendant un délai pouvant atteindre 315 secondes.
ip_protocol : protocole de la connexion. Il peut s'agir du protocole TCP ou UDP.

Définir des règles d'alerte

Pour créer une règle d'alerte basée sur les métriques, procédez comme suit. Utilisez un type de ressource Service Attachment pour les métriques sur les services publiés. Utilisez un type de ressource Private Service Connect Endpoint pour les métriques sur les points de terminaison ou les backends.

Console

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans la console Google Cloud, accédez à la page Alertes :

    Accéder à l'interface des alertes

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Surveillance.

  2. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  3. Sur la page Alertes, cliquez sur Créer une règle.
  4. Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez the resource type dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Dans le champ Type de ressource, sélectionnez le type de ressource.
    3. Dans le champ Catégorie de métrique, sélectionnez Private_service_connect.
    4. Dans le champ Métrique, sélectionnez la métrique à utiliser pour cette règle.
    5. Sélectionnez Appliquer.
  5. Cliquez sur Suivant.
  6. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Sélectionnez un type de condition et, si nécessaire, spécifiez un seuil. Pour plus d'informations, consultez la page Créer des règles d'alerte basées sur un seuil de métrique.
  7. Cliquez sur Suivant.
  8. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  9. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  10. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  11. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  12. Cliquez sur Créer une stratégie.
Pour plus d'informations, consultez la page Règles d'alerte.

Afficher les journaux

Vous pouvez afficher les journaux des points de terminaison Private Service Connect et des services publiés à l'aide de Cloud Logging. Cloud Logging est un service entièrement géré qui vous permet de stocker, de rechercher, d'analyser et de surveiller les données et les événements de journalisation, puis de déclencher des alertes le cas échéant.

  • Les journaux d'audit vous permettent de surveiller l'activité de Private Service Connect. Les journaux d'audit des activités d'administration sont systématiquement écrits.
  • Les journaux de flux VPC vous permettent de surveiller le trafic Private Service Connect. Vous devez activer les journaux de flux VPC pour chaque sous-réseau que vous souhaitez surveiller.

Vous pouvez utiliser ces journaux pour corréler les événements entre le client du service et le producteur de services. Par exemple, si l'état de connexion d'une règle de transfert client change de manière inattendue, vous pouvez demander au producteur de services de vérifier ses journaux pour tout événement de suppression ou de mise à jour de rattachement de service.

Console

  1. Dans Google Cloud Console, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Si le champ de l'éditeur de requête n'apparaît pas dans le volet Query (Requête), cliquez sur le bouton Show query (Afficher la requête).

  3. Dans le champ de l'éditeur de requête, saisissez une requête. Par exemple, pour afficher le changement d'état de connexion d'un point de terminaison, saisissez la requête suivante en remplaçant CONSUMER_PROJECT_ID par l'ID du projet client :

    resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"

    Pour obtenir d'autres exemples de requêtes que vous pouvez exécuter pour afficher des événements de journalisation courants, consultez la section Événements de journalisation courants pour les points de terminaison.

  4. Cliquez sur Exécuter la requête.

Pour plus d'informations sur l'interrogation des journaux d'audit, consultez la section Afficher les journaux d'audit.

Événements de journalisation courants pour les services publiés

Le tableau suivant répertorie les événements de journalisation courants pour les services Private Service Connect publiés.

Description de l'événement Filtre avancé Logging
Suppression d'un rattachement de service 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.delete"
Rattachement de service activant le rapprochement des connexions 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.patch"
protoPayload.request.reconcileConnections="true"
Rattachement de service refusant un URI de projet client 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID"
Journaux de flux VPC pour le trafic provenant d'un sous-réseau Private Service Connect vers n'importe quelle instance de VM backend (y compris les nœuds GKE) 
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~"VM_INSTANCE_PREFIX.*"

Remplacez les éléments suivants :

  • PRODUCER_PROJECT_ID : ID de projet du producteur de services.
  • CONSUMER_PROJECT_ID : ID de projet du client de service.
  • PSC_SUBNET_REGEX : expression régulière qui correspond à un modèle du sous-réseau Private Service Connect. Par exemple, remplacez PSC_SUBNET_REGEX par 172\.16\.[0-1] si le sous-réseau Private Service Connect est 172.16.0.0/23.
  • VM_INSTANCE_PREFIX : préfixe des instances de VM de backend.

Événements de journalisation courants pour les points de terminaison

Le tableau suivant répertorie les événements de journalisation courants pour les points de terminaison Private Service Connect.

Description de l'événement Filtre avancé Logging
Création d'un point de terminaison Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
Échec de création d'un point de terminaison Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
severity>=ERROR
Modification de l'état de la connexion du point de terminaison Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
Refus de connexion du point de terminaison Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
protoPayload.metadata.pscConnectionStatus="REJECTED"
Quota PSC_INTERNAL_LB_FORWARDING_RULES dépassé 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"QUOTA_EXCEEDED"
severity=ERROR
Journaux de flux VPC pour le trafic depuis une instance de VM vers un point de terminaison Private Service Connect 
resource.type="gce_subnetwork"
logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_instance.vm_name="VM_INSTANCE_NAME"

Remplacez les éléments suivants :

  • CONSUMER_PROJECT_ID : ID de projet du client de service.
  • PSC_ENDPOINT_IP_ADDRESS : adresse IP du point de terminaison Private Service Connect.
  • VM_INSTANCE_NAME : nom d'une instance de VM source.

Problèmes connus

Métriques non générées pour l'accès mondial interrégional

Il existe un problème connu avec lequel les métriques Private Service Connect de la présente page peuvent ne pas être générées pour les consommateurs ou les producteurs dans le scénario suivant :

  • Une ressource client existe dans une région.
  • La ressource cliente accède à un point de terminaison Private Service Connect dans une autre région à l'aide de l'accès mondial.
  • La région du point de terminaison ne contient aucune instance de machine virtuelle (VM) grand public.

Solution

Pour générer des métriques dans ce scénario, créez une instance de VM dans la même région que le point de terminaison auquel vous accédez.

Étape suivante