Monitorare le connessioni Private Service Connect

Private Service Connect espone le metriche chiave a Cloud Monitoring per fornirti informazioni sulle tue connessioni Private Service Connect.

Le metriche vengono inviate automaticamente a Monitoring. Qui puoi creare dashboard personalizzate, configurare avvisi ed eseguire query sulle metriche.

Monitorare i servizi pubblicati

Puoi monitorare i servizi pubblicati utilizzando dashboard o Google Cloud metriche predefinite.

Visualizzare le dashboard per i servizi pubblicati

Private Service Connect fornisce un insieme di dashboard predefinite che mostrano le seguenti metriche per un servizio pubblicato:

  • Regole di forwarding collegate
  • Indirizzi IP NAT in uso
  • Connessioni aperte
  • Nuove connessioni
  • Connessioni chiuse
  • Traffico di rete
  • Pacchetti di rete
  • Pacchetti inviati persi
  • Pacchetti ricevuti persi

Per visualizzare le dashboard predefinite dalla pagina dei dettagli di un determinato servizio pubblicato di Private Service Connect:

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic su un servizio esistente.

  4. Fai clic sulla scheda Monitoraggio.

    Puoi modificare la visualizzazione dei grafici utilizzando il controllo nella parte superiore della pagina. Se passi il mouse sopra un punto del grafico, vengono visualizzati i dettagli relativi a quel momento specifico.

Metriche per i servizi pubblicati

Le stringhe "tipo metrica" in questa tabella devono avere il prefisso compute.googleapis.com/. Questo prefisso è stato omesso dalle voci della tabella.

Per un elenco completo delle Google Cloud metriche, consulta Google Cloud Metriche.

Tipo di metrica Fase di lancio
Nome visualizzato
Tipo, Tipo, Unità
Risorse monitorate		 Descrizione
Etichette
private_service_connect/producer/closed_connections_count BETA
Conteggio delle connessioni chiuse
DELTAINT64{connection}
gce_service_attachment 		Conteggio delle connessioni chiuse tramite un ID collegamento PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/connected_consumer_forwarding_rules GA
Regole di forwarding dei consumatori collegati
GAUGEINT641
gce_service_attachment 		Numero di regole di inoltro dei consumatori collegate a un ID allegato PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 165 secondi.
private_service_connect/producer/dropped_received_packets_count BETA
Conteggio pacchetti ricevuti persi
DELTAINT64{packet}
gce_service_attachment 		Conteggio dei pacchetti ricevuti eliminati da un ID allegato PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/dropped_sent_packets_count BETA
Conteggio pacchetti inviati persi
DELTAINT64{packet}
gce_service_attachment 		Conteggio dei pacchetti inviati persi da un ID allegato PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/new_connections_count BETA
Conteggio dei nuovi collegamenti
DELTAINT64{connection}
gce_service_attachment 		Conteggio delle nuove connessioni create tramite un ID allegato PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/open_connections BETA
Connessioni aperte
GAUGEINT64{connection}
gce_service_attachment 		Numero di connessioni attualmente aperte in un ID allegato PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/received_bytes_count BETA
Conteggio byte ricevuti
DELTAINT64By
gce_service_attachment 		Conteggio dei byte ricevuti (PSC -> Servizio) tramite un ID collegamento PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/received_packets_count BETA
Conteggio pacchetti ricevuti
DELTAINT64{packet}
gce_service_attachment 		Conteggio dei pacchetti ricevuti (PSC -> Servizio) tramite un ID collegamento PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/sent_bytes_count BETA
Conteggio byte inviati
DELTAINT64By
gce_service_attachment 		Conteggio dei byte inviati (servizio -> PSC) tramite un ID collegamento PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/sent_packets_count BETA
Conteggio pacchetti inviati
DELTAINT64{packet}
gce_service_attachment 		Conteggio dei pacchetti inviati (servizio -> PSC) tramite un ID collegamento PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
psc_connection_id: L'ID connessione Private Service Connect della regola di inoltro Private Service Connect.
private_service_connect/producer/used_nat_ip_addresses GA
Indirizzi IP NAT utilizzati
GAUGEINT641
gce_service_attachment 		Utilizzo dell'IP del collegamento al servizio monitorato. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 165 secondi.

Monitorare endpoint e backend

Puoi monitorare gli endpoint che si connettono ai servizi pubblicati utilizzando dashboard o Google Cloud metriche predefinite. Puoi monitorare i backend collegati ai servizi pubblicati utilizzando le Google Cloud metriche.

Visualizzare le dashboard per gli endpoint

Private Service Connect fornisce un insieme di dashboard predefinite che mostrano le seguenti metriche per gli endpoint che si connettono ai servizi pubblicati:

  • Connessioni aperte
  • Nuove connessioni
  • Connessioni chiuse
  • Traffico di rete
  • Pacchetti di rete
  • Pacchetti inviati persi
  • Pacchetti ricevuti persi

Per visualizzare le dashboard predefinite dalla pagina dei dettagli di un determinato endpoint Private Service Connect:

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Endpoint collegati.

  3. Fai clic su un endpoint che si connette a un servizio pubblicato.

  4. Fai clic sulla scheda Monitoraggio.

    Puoi modificare la visualizzazione dei grafici utilizzando il controllo nella parte superiore della pagina. Se passi il mouse sopra un punto del grafico, vengono visualizzati i dettagli relativi a quel momento specifico.

Metriche per endpoint e backend

Sia gli endpoint sia i backend di Private Service Connect vengono monitorati come risorse Endpoint Private Service Connect.

Le metriche in questa tabella non vengono generate per endpoint o backend che si connettono alle API di Google.

Le stringhe "tipo metrica" in questa tabella devono avere il prefisso compute.googleapis.com/. Questo prefisso è stato omesso dalle voci della tabella.

Per un elenco completo delle Google Cloud metriche, consulta Google Cloud Metriche.

Tipo di metrica Fase di lancio
Nome visualizzato
Tipo, Tipo, Unità
Risorse monitorate		 Descrizione
Etichette
private_service_connect/consumer/closed_connections_count BETA
Conteggio delle connessioni chiuse
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio delle connessioni TCP/UDP chiuse tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/dropped_received_packets_count BETA
Conteggio pacchetti ricevuti persi
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei pacchetti ricevuti persi da un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/dropped_sent_packets_count BETA
Conteggio pacchetti inviati persi
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei pacchetti inviati persi da un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/new_connections_count BETA
Conteggio dei nuovi collegamenti
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio delle nuove connessioni TCP/UDP create tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/open_connections BETA
Connessioni aperte
GAUGEINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Numero di connessioni TCP/UDP attualmente aperte su un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/received_bytes_count BETA
Conteggio byte ricevuti
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei byte ricevuti (PSC -> Client) tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/received_packets_count BETA
Conteggio pacchetti ricevuti
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei pacchetti ricevuti (PSC -> Client) tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/sent_bytes_count BETA
Conteggio byte inviati
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei byte inviati (clienti -> PSC) tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.
private_service_connect/consumer/sent_packets_count BETA
Conteggio pacchetti inviati
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Conteggio dei pacchetti inviati (clienti -> PSC) tramite un ID connessione PSC. Campionamento eseguito ogni 60 secondi. Dopo il campionamento, i dati non sono visibili per un massimo di 315 secondi.
ip_protocol: il protocollo della connessione. Può essere TCP o UDP.

Definire i criteri di avviso

Per creare un criterio di avviso basato su metriche, segui questi passaggi. Utilizza un tipo di risorsa Service Attachment per le metriche relative ai servizi pubblicati. Utilizza un tipo di risorsa Private Service Connect Endpoint per le metriche relative a endpoint o backend.

Console

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungili. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci the resource type nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona il tipo di risorsa.
    3. Per Categoria metrica, seleziona Private_service_connect.
    4. In Metrica, seleziona la metrica da utilizzare per questa norma.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Seleziona un tipo di condizione e, se necessario, specifica una soglia. Per ulteriori informazioni, consulta Creare criteri di avviso basati su soglie di metriche.
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

Visualizza i log

Puoi visualizzare i log per gli endpoint Private Service Connect e i servizi pubblicati utilizzando Cloud Logging. Cloud Logging è un servizio completamente gestito che ti consente di archiviare, cercare, analizzare, monitorare e creare avvisi su dati di log ed eventi.

  • I log di controllo ti consentono di monitorare l'attività di Private Service Connect. Gli audit log per le attività di amministrazione vengono sempre scritti.
  • I log di flusso VPC ti consentono di monitorare il traffico di Private Service Connect. Devi abilitare i log di flusso VPC per ogni subnet da monitorare.

Puoi utilizzare questi log per correlare gli eventi tra il consumatore e il producer di servizi. Ad esempio, se lo stato di connessione di una regola di inoltro del consumatore cambia in modo imprevisto, puoi chiedere al produttore del servizio di verificare i log per eventuali eventi di aggiornamento o eliminazione degli allegati del servizio.

Console

  1. Nella console Google Cloud, vai alla pagina Esplora log.

    Vai a Esplora log

  2. Se non vedi il campo dell'editor di query nel riquadro Query, fai clic sul pulsante di attivazione/disattivazione Mostra query.

  3. Inserisci una query nel campo dell'editor delle query. Ad esempio, per visualizzare la variazione dello stato di connessione di un endpoint, inserisci la seguente query, sostituendo CONSUMER_PROJECT_ID con l'ID progetto del consumatore:

    resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"

    Per altri esempi di query che puoi eseguire per visualizzare gli eventi di logging comuni, consulta Eventi di logging comuni per gli endpoint.

  4. Fai clic su Esegui query.

Per ulteriori informazioni su come eseguire query sui log di controllo, vedi Visualizzare i log di controllo.

Eventi di logging comuni per i servizi pubblicati

Nella tabella seguente sono elencati gli eventi di logging comuni per i servizi pubblicati di Private Service Connect.

Descrizione dell'evento Filtro avanzato di registrazione
Eliminazione dei collegamenti di servizi 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.delete"
Collegamento del servizio che abilita la riconciliazione delle connessioni 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.patch"
protoPayload.request.reconcileConnections="true"
Il collegamento al servizio rifiuta un URI del progetto consumer 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID"
Log di flusso VPC per il traffico da una subnet Private Service Connect a qualsiasi istanza VM di backend (inclusi i nodi GKE) 
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~"VM_INSTANCE_PREFIX.*"

Sostituisci quanto segue:

  • PRODUCER_PROJECT_ID: l'ID progetto del producer di servizi.
  • CONSUMER_PROJECT_ID: l'ID progetto del consumatore del servizio.
  • PSC_SUBNET_REGEX: un'espressione regolare che corrisponde a un pattern nella subnet di Private Service Connect. Ad esempio, sostituisci PSC_SUBNET_REGEX con 172\.16\.[0-1] se la subnet Private Service Connect è 172.16.0.0/23.
  • VM_INSTANCE_PREFIX: il prefisso delle istanze VM di backend.

Eventi di logging comuni per gli endpoint

Nella tabella seguente sono elencati gli eventi di logging comuni per gli endpoint di Private Service Connect.

Descrizione dell'evento Filtro avanzato di registrazione
Creazione di endpoint Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
Errore di creazione dell'endpoint Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
severity>=ERROR
Modifica dello stato di connessione dell'endpoint Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
Connessione all'endpoint Private Service Connect rifiutata 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
protoPayload.metadata.pscConnectionStatus="REJECTED"
Quota PSC_INTERNAL_LB_FORWARDING_RULES superata 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"QUOTA_EXCEEDED"
severity=ERROR
Log flussi VPC per il traffico da un'istanza VM a un endpoint Private Service Connect 
resource.type="gce_subnetwork"
logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_instance.vm_name="VM_INSTANCE_NAME"

Sostituisci quanto segue:

  • CONSUMER_PROJECT_ID: l'ID progetto del consumatore del servizio.
  • PSC_ENDPOINT_IP_ADDRESS: l'indirizzo IP dell'endpoint Private Service Connect.
  • VM_INSTANCE_NAME: il nome di un'istanza VM di origine.

Problemi noti

Metriche non generate per l'accesso globale tra regioni

Esiste un problema noto per cui le metriche Private Service Connect in questa pagina potrebbero non essere generate per i consumer o i producer nel seguente scenario:

  • Esiste una risorsa consumer in una regione.
  • La risorsa consumer accede a un endpoint di Private Service Connect in una regione diversa utilizzando l'accesso globale.
  • La regione dell'endpoint non contiene istanze di macchine virtuali (VM) consumer.

Soluzione alternativa

Per generare metriche in questo scenario, crea un'istanza VM nella stessa regione dell'endpoint a cui si accede.

Passaggi successivi