监控 Private Service Connect 连接

Private Service Connect 向 Cloud Monitoring 提供关键指标，可让您深入了解 Private Service Connect 连接。

系统会自动将指标发送到 Monitoring。在 Monitoring 中，您可以创建自定义信息中心、设置提醒以及查询指标。

监控已发布的服务

您可以使用预定义的信息中心或 Google Cloud 指标来监控已发布的服务。

查看已发布服务的信息中心

Private Service Connect 提供一组预定义的信息中心，它们显示已发布的服务的以下指标：

关联的转发规则数量
使用的 NAT IP 地址数量
打开的连接数
新连接数
关闭的连接数
网络流量
网络数据包
发送后丢弃的数据包
收到后丢弃的数据包

如需从特定 Private Service Connect 发布服务的详情页面查看预定义的信息中心，请按以下步骤操作：

控制台

在 Google Cloud 控制台中，转到 Private Service Connect 页面。

转到 Private Service Connect
点击已发布服务标签页。
点击现有服务。
点击监控标签。

您可以使用页面顶部的控件来更改图表的视图。将鼠标悬停在图表某个点上，即可查看该特定时间的详细信息。

已发布服务的指标

此表中的“指标类型”字符串必须以 compute.googleapis.com/ 为前缀。表中的条目已省略该前缀。

如需查看 Google Cloud 指标的完整列表，请参阅 Google Cloud 指标。

指标类型^发布阶段显示名
种类、类型、单位受监控的资源	说明标签
`private_service_connect/producer/closed_connections_count` ^{Beta 版} 关闭的连接数
`DELTA`、`INT64`、`{connection}` gce_service_attachment	通过 PSC 连接 ID 关闭的连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/connected_consumer_forwarding_rules` ^GA 连接的使用方转发规则
`GAUGE`、`INT64`、`1` gce_service_attachment	连接到 PSC 连接 ID 的使用方转发规则数。每 60 秒采样一次。采样后，数据在最长 165 秒的时间内不会显示。
`private_service_connect/producer/dropped_received_packets_count` ^{Beta 版} 收到但被丢弃的数据包数
`DELTA`、`INT64`、`{packet}` gce_service_attachment	通过 PSC 连接 ID 丢弃的已接收数据包数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/dropped_sent_packets_count` ^{Beta 版} 发送但丢弃的数据包数
`DELTA`、`INT64`、`{packet}` gce_service_attachment	PSC 连接 ID 丢弃的已发送数据包数量。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/new_connections_count` ^{Beta 版} 新的连接数
`DELTA`、`INT64`、`{connection}` gce_service_attachment	通过 PSC 连接 ID 创建的新连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/open_connections` ^{Beta 版} 打开的连接数
`GAUGE`、`INT64`、`{connection}` gce_service_attachment	目前在 PSC 连接 ID 上打开的连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/received_bytes_count` ^{Beta 版} 收到的字节数
`DELTA`、`INT64`、`By` gce_service_attachment	通过 PSC 连接 ID 接收的字节数（PSC -> 服务）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/received_packets_count` ^{Beta 版} 收到的数据包数
`DELTA`、`INT64`、`{packet}` gce_service_attachment	通过 PSC 连接 ID 接收的数据包数（PSC -> 服务）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/sent_bytes_count` ^{Beta 版} 已发送的字节数
`DELTA`、`INT64`、`By` gce_service_attachment	通过 PSC 连接 ID 发送的字节数（服务 -> PSC）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/sent_packets_count` ^{Beta 版} 已发送的数据包数
`DELTA`、`INT64`、`{packet}` gce_service_attachment	通过 PSC 连接 ID 发送的数据包数（服务 -> PSC）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。 `psc_connection_id`：Private Service Connect 转发规则的 Private Service Connect 连接 ID。
`private_service_connect/producer/used_nat_ip_addresses` ^GA 使用的 nat IP 地址
`GAUGE`、`INT64`、`1` gce_service_attachment	受监控服务连接的 IP 使用情况。每 60 秒采样一次。采样后，数据在最长 165 秒的时间内不会显示。

监控端点和后端

您可以使用预定义的信息中心或 Google Cloud 指标来监控连接到已发布服务的端点。您可以使用 Google Cloud 指标监控连接到已发布服务的后端。

查看端点的信息中心

Private Service Connect 提供了一组预定义的信息中心，它们显示连接到已发布服务的端点的以下指标：

打开的连接数
新连接数
关闭的连接数
网络流量
网络数据包
发送后丢弃的数据包
收到后丢弃的数据包

如需从特定 Private Service Connect 端点的详情页面查看预定义的信息中心，请按照以下步骤操作：

控制台

在 Google Cloud 控制台中，转到 Private Service Connect 页面。

转到 Private Service Connect
点击已连接的端点标签页。
点击连接到已发布服务的端点。
点击监控标签页。

您可以使用页面顶部的控件来更改图表的视图。将鼠标悬停在图表某个点上，即可查看该特定时间的详细信息。

端点和后端的指标

Private Service Connect 端点和后端都作为 Private Service Connect 端点资源进行监控。

系统不会为连接到 Google API 的端点或后端生成此表中的指标。

此表中的“指标类型”字符串必须以 compute.googleapis.com/ 为前缀。表中的条目已省略该前缀。

如需查看 Google Cloud 指标的完整列表，请参阅 Google Cloud 指标。

指标类型^发布阶段显示名
种类、类型、单位受监控的资源	说明标签
`private_service_connect/consumer/closed_connections_count` ^{Beta 版} 关闭的连接数
`DELTA`, `INT64`, `{connection}` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 关闭的 TCP/UDP 连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/dropped_received_packets_count` ^{Beta 版} 收到但被丢弃的数据包数
`DELTA`, `INT64`, `{packet}` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 丢弃的已接收数据包数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/dropped_sent_packets_count` ^{Beta 版} 发送但丢弃的数据包数
`DELTA`, `INT64`, `{packet}` compute.googleapis.com/PrivateServiceConnectEndpoint	PSC 连接 ID 丢弃的已发送数据包数量。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/new_connections_count` ^{Beta 版} 新的连接数
`DELTA`, `INT64`, `{connection}` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 创建的新 TCP/UDP 连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/open_connections` ^{Beta 版} 打开的连接数
`GAUGE`, `INT64`, `{connection}` compute.googleapis.com/PrivateServiceConnectEndpoint	目前在 PSC 连接 ID 上打开的 TCP/UDP 连接数。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/received_bytes_count` ^{Beta 版} 收到的字节数
`DELTA`, `INT64`, `By` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 接收的字节数（PSC -> 客户端）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/received_packets_count` ^{Beta 版} 收到的数据包数
`DELTA`, `INT64`, `{packet}` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 接收到的数据包数（PSC -> 客户端）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/sent_bytes_count` ^{Beta 版} 已发送的字节数
`DELTA`, `INT64`, `By` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 发送的字节数（客户端 -> PSC）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。
`private_service_connect/consumer/sent_packets_count` ^{Beta 版} 已发送的数据包数
`DELTA`, `INT64`, `{packet}` compute.googleapis.com/PrivateServiceConnectEndpoint	通过 PSC 连接 ID 发送的数据包数（客户端 -> PSC）。每 60 秒采样一次。采样后，数据在最长 315 秒的时间内不会显示。 `ip_protocol`：连接的协议。可以是 TCP 或 UDP。

定义提醒政策

如需创建基于指标的提醒政策，请按照以下步骤操作。对于已发布服务的指标，请使用 Service Attachment 资源类型。对于端点或后端的指标，请使用 Private Service Connect Endpoint 资源类型。

控制台

您可以创建提醒政策来监控指标的值，当这些指标违反条件时便会通知您。

在 Google Cloud 控制台中，转到提醒页面：
进入提醒

如果您使用搜索栏查找此页面，请选择子标题为监控的结果。
如果您尚未创建通知渠道并希望收到通知，请点击修改通知渠道并添加通知渠道。添加渠道后，返回到提醒页面。
在提醒页面中，点击创建政策。
如需选择指标，请展开选择指标菜单，然后执行以下操作：
1. 如需将菜单限制为相关条目，请在过滤栏中输入 the resource type。如果过滤菜单后没有显示任何结果，请停用仅显示活跃的资源和指标切换开关。
2. 在资源类型部分，选择所需的资源类型。
3. 对于指标类别，请选择 Private_service_connect。
4. 对于指标，请选择要用于此政策的指标。
5. 选择应用。
点击下一步。
配置提醒触发器页面中的设置决定了何时触发提醒。选择条件类型，并在必要时指定阈值。如需了解详情，请参阅创建指标阈值提醒政策。
点击下一步。
可选：如需将通知添加到您的提醒政策中，请点击通知渠道。在对话框中，从菜单中选择一个或多个通知渠道，然后点击确定。
可选：更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
可选：点击文档，然后添加您希望包含在通知消息中的任何信息。
点击提醒名称，然后输入提醒政策的名称。
点击 Create Policy（创建政策）。

如需了解详情，请参阅提醒政策。

查看日志

您可以使用 Cloud Logging 查看 Private Service Connect 端点和已发布服务的日志。Cloud Logging 是一项全托管式服务，可让您存储、搜索、分析、监控日志记录数据和事件，并相应地发出提醒。

审核日志可让您监控 Private Service Connect 活动。系统始终会写入管理员活动审核日志。
VPC 流日志可让您监控 Private Service Connect 流量。您必须为要监控的每个子网启用 VPC 流日志。

您可以使用这些日志在服务使用方与服务提供方之间关联事件。例如，如果使用方转发规则的连接状态意外更改，您可以要求服务提供方验证其日志，看看是否有任何服务连接删除或更新事件。

控制台

在 Google Cloud 控制台中，转到日志浏览器页面。

转到日志浏览器
如果您在查询窗格中没有看到查询编辑器字段，请点击显示查询切换开关。
在查询编辑器字段中，输入查询。例如，如需查看端点的连接状态变化，请输入以下查询，并将 CONSUMER_PROJECT_ID 替换为使用方项目 ID：
```
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
```
如需查看更多可用于查看常见日志记录事件的查询示例，请参阅端点的常见日志记录事件。
点击运行查询。

如需详细了解如何查询审核日志，请参阅查看审核日志。

已发布服务的常见日志记录事件

下表列出了 Private Service Connect 已发布服务的常见日志记录事件。

活动说明	Logging 高级过滤条件
服务连接删除	resource.type="audited_resource" log_name="projects/`PRODUCER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.delete"
可启用连接协调的服务连接	resource.type="audited_resource" log_name="projects/`PRODUCER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.patch" protoPayload.request.reconcileConnections="true"
可拒绝使用方项目 URI 的服务连接	resource.type="audited_resource" log_name="projects/`PRODUCER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.request.consumerRejectLists="`CONSUMER_PROJECT_ID`"
针对从 Private Service Connect 子网到任何后端虚拟机实例（包括 GKE 节点）的流量的 VPC 流日志	resource.type="gce_subnetwork" logName="projects/`PRODUCER_PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows" json_payload.connection.src_ip=~"`PSC_SUBNET_REGEX`." jsonPayload.dest_instance.vm_name=~"`VM_INSTANCE_PREFIX`."

替换以下内容：

PRODUCER_PROJECT_ID：服务提供方的项目 ID。
CONSUMER_PROJECT_ID：服务使用方的项目 ID。
PSC_SUBNET_REGEX：与 Private Service Connect 子网中的模式匹配的正则表达式。例如，如果 Private Service Connect 子网为 172.16.0.0/23，请将 PSC_SUBNET_REGEX 替换为 172\.16\.[0-1]。
VM_INSTANCE_PREFIX：后端虚拟机实例的前缀。

端点的常见日志记录事件

下表列出了 Private Service Connect 端点的常见日志记录事件。

活动说明	Logging 高级过滤条件
Private Service Connect 端点创建	resource.type="gce_forwarding_rule" log_name="projects/`CONSUMER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate"
Private Service Connect 端点创建失败	resource.type="gce_forwarding_rule" log_name="projects/`CONSUMER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate" severity>=ERROR
Private Service Connect 端点连接状态变化	resource.type="gce_forwarding_rule" log_name="projects/`CONSUMER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate"
被拒绝的 Private Service Connect 端点连接	resource.type="gce_forwarding_rule" log_name="projects/`CONSUMER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate" protoPayload.metadata.pscConnectionStatus="REJECTED"
超出配额 `PSC_INTERNAL_LB_FORWARDING_RULES`	resource.type="gce_forwarding_rule" log_name="projects/`CONSUMER_PROJECT_ID`/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "QUOTA_EXCEEDED" severity=ERROR
从虚拟机实例到 Private Service Connect 端点的流量的 VPC 流日志	resource.type="gce_subnetwork" logName="projects/`CONSUMER_PROJECT_ID`/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_ip="`PSC_ENDPOINT_IP_ADDRESS`" jsonPayload.src_instance.vm_name="`VM_INSTANCE_NAME`"

替换以下内容：

CONSUMER_PROJECT_ID：服务使用方的项目 ID。
PSC_ENDPOINT_IP_ADDRESS：Private Service Connect 端点的 IP 地址。
VM_INSTANCE_NAME：来源虚拟机实例的名称。

已知问题

未为跨区域全球访问生成的指标

存在一个已知问题，即在以下情况下，此页面上可能不会为使用方或提供方生成 Private Service Connect 指标：

使用方资源位于一个区域。
使用全球访问权限，使用方资源可访问位于其他区域的 Private Service Connect 端点。
端点所在的区域不包含任何使用方虚拟机 (VM) 实例。

临时解决方法

在这种情况下，如需生成指标，请在正在访问的端点所在的区域中创建一个虚拟机实例。

后续步骤

详细了解 Monitoring
详细了解日志记录功能