Créer des tests de disponibilité privés

Ce document explique comment configurer un test de disponibilité privé. Les tests de disponibilité privés autorisent les requêtes HTTP ou TCP dans un réseau cloud privé virtuel (VPC) client, tout en appliquant les restrictions Identity and Access Management (IAM) (Gestion des identités et des accès) et les périmètres VPC Service Controls. Les vérifications de disponibilité privées peuvent envoyer des requêtes via le réseau privé à des ressources telles qu'une machine virtuelle (VM) ou un équilibreur de charge interne (ILB) L4.

Les adresses IP internes des ressources du réseau privé sont enregistrées par les services de l'Annuaire des services pour lesquels l'accès au réseau privé est activé. Pour utiliser les tests de disponibilité privés, vous devez configurer l'accès au réseau privé à l'aide du produit Annuaire des services.

Le projet Google Cloud qui stocke la vérification de l'état de disponibilité privé et le projet Google Cloud qui stocke le service Annuaire des services peuvent être différents. Cloud Monitoring vous permet de surveiller les ressources de plusieurs projets Google Cloud à partir d'un seul projet à l'aide d'un champ d'application des métriques. Le projet dans lequel la vérification de la disponibilité est définie est le projet de champ d'application d'un champ d'application des métriques. Le champ d'application des métriques est une liste de tous les projets que le projet de champ d'application surveille. Le service d'annuaire des services peut être défini dans le projet de champ d'application ou dans un projet du champ d'application des métriques. Pour en savoir plus sur les champs d'application des métriques, consultez la section Présentation des champs d'application des métriques.

Le réseau privé et ses ressources, comme les VM ou les équilibreurs de charge, peuvent également se trouver dans un autre projet Google Cloud. Ce projet ne doit pas être inclus dans le champ d'application des métriques du projet de champ d'application du test de disponibilité. Le service Directory des services collecte les métriques de disponibilité. Il doit donc être inclus dans le champ d'application des métriques, mais les ressources qu'il encapsule ne le sont pas.

Ce document explique comment configurer un réseau privé et les ressources de l'Annuaire des services pour celui-ci à l'aide de la console Google Cloud ou de l'API. Les exemples d'API supposent que le réseau privé et le service Annuaire des services se trouvent dans le projet de champ d'application de la vérification de l'état de disponibilité. Toutefois, Créer un test de disponibilité privé décrit également comment utiliser l'API pour créer un test de disponibilité qui utilise un service de l'Annuaire des services dans le champ d'application des métriques.

Pour savoir comment configurer des tests de disponibilité qui utilisent des adresses IP publiques, consultez la section Créer des tests de disponibilité publics. Pour en savoir plus sur la gestion et la surveillance de vos tests de disponibilité, consultez la section Étape suivante de ce document.

Avant de commencer

  1. Activez les API suivantes :

    • API Cloud Monitoring : monitoring.googleapis.com
    • API Service Directory: servicedirectory.googleapis.com
    • API Service Networking: servicenetworking.googleapis.com
    • API Compute Engine: compute.googleapis.com

    Vous pouvez activer les API à l'aide de la gcloud CLI ou de la console Google Cloud. Les onglets suivants décrivent comment installer la gcloud CLI et activer l'API Cloud Monitoring:

    Console Google Cloud

    1. Dans la console Google Cloud, sélectionnez le projet Google Cloud pour lequel vous souhaitez activer l'API, puis accédez à la page API et services:

      Accéder à API et services

    2. Cliquez sur le bouton Activer des API et des services.

    3. Recherchez "Monitoring".

    4. Dans les résultats de recherche, cliquez sur "API Cloud Monitoring".

    5. Si "API activée" s'affiche, cela signifie que l'API est déjà activée. Sinon, cliquez sur Activer.

    CLI gcloud

    1. Si vous n'avez pas encore installé Google Cloud CLI sur votre poste de travail, consultez la page Installer gcloud CLI.

    2. Pour vérifier si l'API Monitoring est activée, exécutez la commande suivante sur votre poste de travail, en remplaçant PROJECT_ID par l'ID du projet pour lequel vous souhaitez activer l'API:

      gcloud services list --project=PROJECT_ID

      Si monitoring.googleapis.com apparaît dans le résultat, l'API est activée.

    3. Si l'API n'est pas activée, exécutez la commande suivante pour l'activer:

      gcloud services enable monitoring --project=PROJECT_ID

      Pour en savoir plus, consultez les sections sur gcloud services

    Vous pouvez suivre les mêmes étapes pour activer les autres API:

    • Pour utiliser la console Google Cloud, recherchez le nom à afficher, par exemple "API Service Directory".
    • Pour utiliser gcloud CLI, spécifiez le premier élément du nom googleapis.com, par exemple servicedirectory.

  2. Configurez les canaux de notification que vous souhaitez utiliser pour recevoir les notifications. Nous vous recommandons de créer plusieurs types de canaux de notification. Pour en savoir plus, consultez la page Créer et gérer des canaux de notification.

  3. Configurez un réseau privé et une VM ou un ILB pour qu'ils aient accès à ce réseau privé. Pour en savoir plus, consultez la section Accès aux services privés.

    Les vérifications privées qui ciblent des équilibreurs de charge internes sont limitées aux régions disposant de vérificateurs de disponibilité. La région USA du test de disponibilité inclut les régions USA_OREGON, USA_IOWA et USA_VIRGINIA. Chacune des régions USA_* dispose d'un vérificateur, et USA les inclut toutes les trois. Les autres régions de test de disponibilité, EUROPE, SOUTH_AMERICA et ASIA_PACIFIC, possèdent chacune un vérificateur. Pour supprimer cette limitation, vous devez configurer un accès global à votre équilibreur de charge. Pour en savoir plus sur la configuration de l'accès global, consultez l'onglet "ILB" dans la section Configurer les ressources de l'annuaire des services de ce document.

    Si vous prévoyez de vérifier un ILB qui n'autorise pas l'accès mondial, sélectionnez l'une des régions suivantes pour votre ILB:

    • us-east4
    • us-central1
    • us-west1
    • europe-west1
    • southamerica-east1
    • asia-southeast1

  4. Déterminez l'interface à utiliser:

    • Console Google Cloud: vous permet de créer une vérification de l'état de fonctionnement lorsqu'une VM traite des requêtes. Cette interface vous guide pour configurer les ressources de l'annuaire des services, autoriser le compte de service et configurer les règles du pare-feu réseau.

    • Interfaces de ligne de commande: vous pouvez utiliser la Google Cloud CLI et l'API Cloud Monitoring pour créer des tests de disponibilité privés lorsque les ILB et les VM traitent des requêtes.

  5. Si vous prévoyez d'utiliser la ligne de commande pour configurer vos tests de disponibilité privés, suivez les étapes préalables.

Créer un test de disponibilité privé

Cette section explique comment créer et configurer des tests de disponibilité privés des services Annuaire des services:

  • Pour utiliser la console Google Cloud, sélectionnez l'onglet Console Google Cloud.

  • Pour utiliser l'API Cloud Monitoring et configurer le service Annuaire des services dans le même projet Google Cloud que la vérification de l'état de disponibilité, sélectionnez l'onglet API: Délimiter le projet.

  • Pour utiliser l'API Cloud Monitoring et configurer le service Annuaire des services dans un projet surveillé par le champ d'application des métriques du projet de vérification de l'état de disponibilité, sélectionnez l'onglet API: Projet surveillé.

Console Google Cloud

Pour créer un test de disponibilité à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page  Tests de disponibilité:

    Accéder à la page Tests de disponibilité

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

  2. Cliquez sur Create Uptime Check (Créer un test de disponibilité).

    Boîte de dialogue "Créer un test de disponibilité".

  3. Spécifiez un test de disponibilité privé:

    1. Sélectionnez le protocole, qui peut être HTTP, HTTPS ou TCP.

    2. Sélectionnez le type de ressource Adresse IP interne.

  4. Si aucun service d'annuaire des services n'est configuré pour votre projet ou si vous souhaitez en créer un, cliquez sur Afficher, puis remplissez le volet Conditions préalables à la vérification de l'état de disponibilité privé:

    1. Si vous y êtes invité, activez l'API Compute Engine ou l'API Service Directory. L'activation des API peut prendre une minute.

    2. Développez Compte de service, le cas échéant, puis cliquez sur Créer un compte de service.

      Lorsqu'un compte de service de surveillance n'existe pas, un est créé. Monitoring attribue ensuite au compte de service deux rôles Annuaire des services.

    3. Développez le menu Service Directory (Répertoire de services), puis procédez comme suit:

      1. Développez Région, puis sélectionnez la région de la VM qui traite les requêtes.
      2. Développez Espace de noms, puis sélectionnez un espace de noms de l'annuaire des services existant ou cliquez sur Créer un espace de noms et créez-en un.
      3. Cliquez sur Nom du service, puis saisissez un nom de service. Les services sont les cibles des tests de disponibilité privés.
      4. Cliquez sur Nom du point de terminaison, puis saisissez un nom pour le point de terminaison. Un point de terminaison est une paire d'adresse IP et de valeurs de port qu'un service peut utiliser pour traiter les requêtes. Lorsque votre service contient plusieurs points de terminaison, l'un d'entre eux est choisi au hasard.
      5. Développez Réseau, puis sélectionnez votre réseau privé.
      6. Développez Instance, puis sélectionnez la VM sur le réseau privé qui traite les requêtes. Une fois l'instance sélectionnée, son adresse IP interne s'affiche.
      7. Cliquez sur OK.

    4. Développez Règles de pare-feu:

      1. Développez Réseau, puis sélectionnez le réseau auquel la règle réseau est associée.

      2. Cliquez sur Créer des règles de pare-feu.

        La règle de pare-feu autorise le trafic TCP entrant à partir des routes 35.199.192.0/19. Une route à partir de 35.199.192.0/19 accepte la connectivité aux cibles de transfert qui utilisent le routage privé. Pour en savoir plus, consultez Routes VPC.

  5. Dans le volet Private Uptime Check (Test de disponibilité privé), pour spécifier le service de l'Annuaire des services à utiliser, effectuez l'une des opérations suivantes:

    • Sélectionnez Utiliser le nom complet du service, puis saisissez le nom complet du service:

      projects/SERVICE_DIRECTORY_PROJECT_ID/locations/REGION/namespaces/PRIVATE_NAMESPACE/services/PRIVATE_SERVICE

    • Sélectionnez les éléments Région, Espace de noms et Service à l'aide des menus. Si vous avez créé un service, ces champs sont sélectionnés pour vous.

  6. Dans le volet Private Uptime Check (Test de disponibilité privé), complétez la description de la cible du test de disponibilité:

    1. Facultatif: saisissez un composant de chemin d'accès pour la requête.

      Les tests de disponibilité privés qui utilisent le protocole HTTP ou HTTPS envoient une requête à http://target/path. Dans cette expression, target correspond à l'adresse IP interne configurée dans le point de terminaison de l'annuaire des services.

      Si vous laissez le champ Chemin d'accès vide ou si vous définissez la valeur sur /, la requête est envoyée à http://target/.

    2. Facultatif: Pour définir la fréquence d'exécution du test de disponibilité, utilisez le champ Check frequency (Fréquence de vérification).

    3. Facultatif: Pour sélectionner des régions de vérification, ou pour configurer l'authentification, les en-têtes pour les vérifications HTTP et HTTPS, et d'autres valeurs, cliquez sur Autres options de cible:

      • Régions : sélectionnez les régions dans lesquelles les tests de disponibilité doivent recevoir des requêtes. Un test de disponibilité doit comporter au moins trois vérificateurs. Il existe un vérificateur dans toutes les régions, à l'exception des États-Unis, qui comporte trois vérificateurs. Le paramètre par défaut, Global, inclut toutes les régions.
      • Méthode de requête: sélectionnez GET ou POST.
      • Body (Corps) : pour les vérifications POST HTTP, saisissez le corps encodé au format URL. Vous devez effectuer l'encodage vous-même. Pour toutes les autres vérifications, laissez ce champ vide.
      • En-tête d'hôte: ne définissez pas ce champ lorsque vous configurez des vérifications de disponibilité privées.
      • Port: toute valeur que vous définissez ici remplace le port dans la configuration de votre point de terminaison de l'annuaire des services. Ne définissez pas de valeur ici si vous souhaitez utiliser la configuration du point de terminaison.
      • En-têtes personnalisés: spécifiez des en-têtes personnalisés et, si vous le souhaitez, chiffrez-les. Le chiffrement masque les valeurs de l'en-tête dans le formulaire. Utilisez le chiffrement pour les en-têtes liés à l'authentification que vous ne souhaitez pas voir visibles par les autres.
      • Authentification : indiquez un seul nom d'utilisateur et un mot de passe. Ces valeurs sont envoyées sous la forme d'un en-tête d'autorisation. Si vous définissez des valeurs dans ce champ, ne définissez pas un en-tête d'autorisation distinct. Inversement, si vous définissez un en-tête d'autorisation, ne définissez aucune valeur dans ce champ. Les mots de passe sont toujours masqués dans le formulaire.

  7. Cliquez sur Continuer, puis configurez les exigences concernant les réponses. Tous les paramètres de cette section ont des valeurs par défaut:

    • Pour définir un délai avant expiration pour le test de disponibilité, utilisez le champ Délai avant expiration de la réponse. Un test de disponibilité échoue si aucune réponse n'est reçue de plusieurs emplacements dans ce délai.

    • Pour configurer le test de disponibilité afin d'effectuer une correspondance de contenu, assurez-vous que le libellé d'activation est La correspondance de contenu est activée:

      • Sélectionnez le type de correspondance du contenu de la réponse dans le menu des options. Ce champ détermine comment le contenu de la réponse est comparé aux données renvoyées. Par exemple, supposons que le contenu de la réponse soit abcd et que le type de correspondance de contenu soit Contient. Le test de disponibilité n'aboutit que lorsque les données de réponse contiennent abcd. Pour en savoir plus, consultez Valider les données de réponse.
      • Saisissez le contenu de la réponse. Le contenu de la réponse doit être une chaîne de 1 024 octets maximum. Dans l'API, ce champ est l'objet ContentMatcher.

    • Pour empêcher la création d'entrées de journal en raison de tests de disponibilité, effacez Échecs de vérification du journal.

    • Pour les vérifications de disponibilité HTTP, configurez les codes de réponse acceptés. Par défaut, les tests de disponibilité HTTP marquent toute réponse 2xx comme une réponse réussie.

  8. Cliquez sur Continuer, puis configurez les règles d'alerte et les notifications.

    Pour être averti en cas d'échec d'un test de disponibilité, créez une règle d'alerte et configurez des canaux de notification pour cette règle:

    1. Facultatif: modifiez le nom de la règle d'alerte.
    2. Facultatif: Dans le champ Durée, sélectionnez la durée pendant laquelle les tests de disponibilité doivent échouer avant l'envoi de notifications. Par défaut, des notifications sont envoyées lorsqu'au moins deux régions signalent des échecs de test de disponibilité pendant au moins une minute.

    3. Dans la zone Canaux de notification, développez Menu, sélectionnez les canaux à ajouter, puis cliquez sur OK.

      Dans le menu, les canaux de notification sont regroupés par ordre alphabétique pour chaque type de canal.

    Si vous ne souhaitez pas créer de règle d'alerte, assurez-vous que le texte du bouton d'activation est Ne pas créer d'alerte.

  9. Cliquez sur Continuer et effectuez le test de disponibilité:

    1. Saisissez un titre descriptif pour le test de disponibilité.

    2. Facultatif: Pour ajouter des libellés définis par l'utilisateur à votre test de disponibilité, procédez comme suit:

      1. Cliquez sur  Afficher les étiquettes utilisateur.
      2. Dans le champ Clé, saisissez un nom pour le libellé. Les noms des libellés doivent commencer par une lettre minuscule et peuvent contenir des lettres minuscules, des chiffres, des traits de soulignement et des tirets. Par exemple, saisissez severity.
      3. Dans le champ Valeur, saisissez une valeur pour votre libellé. Les valeurs de libellé peuvent contenir des lettres minuscules, des chiffres, des traits de soulignement et des tirets. Par exemple, saisissez critical.
      4. Pour chaque libellé supplémentaire, cliquez sur Ajouter un libellé utilisateur, puis saisissez la clé et la valeur du libellé.

    3. Pour vérifier la configuration du test disponibilité, cliquez sur Test (Tester). Si le résultat ne correspond pas à vos attentes, consultez la section Dépannage, corrigez votre configuration, puis répétez l'étape de vérification.

    4. Cliquez sur Créer.

API: projet de définition du périmètre

Pour créer la configuration d'un test de disponibilité privé, vous devez créer un objet UptimeCheckConfig et le transmettre à la méthode uptimeCheckConfigs.create dans l'API Cloud Monitoring.

L'objet UptimeCheckConfig d'un test de disponibilité privé diffère de celui d'un test de disponibilité public comme suit:

  • La ressource surveillée spécifiée dans la configuration de test de disponibilité doit être de type servicedirectory_service. Ce type de ressource possède les libellés suivants:

    • project_id: ID du projet associé au service Annuaire des services.
    • location: région cloud associée au service.
    • namespace_name: espace de noms de l'annuaire des services.
    • service_name: nom du service d'annuaire des services.

  • Vous n'avez pas besoin de spécifier de valeur port dans la configuration du test de disponibilité. La valeur du port du point de terminaison de l'annuaire des services remplace toute valeur définie dans la configuration de la vérification de l'état de fonctionnement, et la vérification échoue si aucun port n'est spécifié dans la configuration de l'annuaire des services.

  • La configuration du test de disponibilité doit spécifier le champ checker_type avec la valeur VPC_CHECKERS. Cette valeur est requise pour les vérifications de disponibilité privées. Par défaut, les tests de disponibilité sont publics. Il n'est donc pas nécessaire de spécifier ce champ.

Le code JSON suivant illustre un objet UptimeCheckConfig pour un test de disponibilité privé à l'aide des ressources de l'annuaire des services configurées pour une instance de VM sur un réseau privé:

{
  "displayName": "private-check-demo",
  "monitoredResource": {
    "type": "servicedirectory_service",
    "labels": {
      "project_id": "SERVICE_DIRECTORY_PROJECT_ID",
      "service_name": "PRIVATE_SERVICE",
      "namespace_name": "PRIVATE_NAMESPACE",
      "location": "REGION"
    }
  },
  "httpCheck": {
    "requestMethod": "GET"
  },
  "period": "60s",
  "timeout": "10s",
  "checker_type": "VPC_CHECKERS"
}'

Pour créer un test de disponibilité privé lorsque le service Annuaire des services se trouve dans le même projet Google Cloud que le test de disponibilité, procédez comme suit:

  1. Définissez le projet Google Cloud par défaut pour la gcloud CLI:

    gcloud config set project PROJECT_ID

  2. Créez une variable d'environnement destinée à stocker l'ID de votre projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Créez une variable d'environnement contenant un jeton d'accès:

    export TOKEN=`gcloud auth print-access-token`

  4. Utilisez l'outil curl pour appeler la méthode uptimeCheckConfigs.create et y publier un objet de configuration:

    curl https://monitoring.googleapis.com/v3/projects/${PROJECT_ID}/uptimeCheckConfigs \
-H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
--request POST --data '{
"displayName": "private-check-demo",
"monitoredResource": {
  "type": "servicedirectory_service",
  "labels": {
    "project_id": "'"$PROJECT_ID"'",
    "service_name": "PRIVATE_SERVICE",
    "namespace_name": "PRIVATE_NAMESPACE",
    "location": "REGION"
  }
},
"httpCheck": {
  "requestMethod": "GET"
},
"period": "60s",
"timeout": "10s",
"checker_type": "VPC_CHECKERS"
}'

Si la création du test de disponibilité échoue, vérifiez que le compte de service dispose des rôles nécessaires. Pour en savoir plus, consultez Échec de la création d'un test de disponibilité.

API: projet surveillé

Pour créer la configuration d'un test de disponibilité privé, vous devez créer un objet UptimeCheckConfig et le transmettre à la méthode uptimeCheckConfigs.create dans l'API Cloud Monitoring.

L'objet UptimeCheckConfig d'un test de disponibilité privé diffère de celui d'un test de disponibilité public comme suit:

  • La ressource surveillée spécifiée dans la configuration de test de disponibilité doit être de type servicedirectory_service. Ce type de ressource comporte les libellés suivants:

    • project_id: ID du projet associé au service Annuaire des services.
    • location: région cloud associée au service.
    • namespace_name: espace de noms de l'annuaire des services.
    • service_name: nom du service d'annuaire des services.

  • Vous n'avez pas besoin de spécifier de valeur port dans la configuration du test de disponibilité. La valeur du port du point de terminaison de l'annuaire des services remplace toute valeur définie dans la configuration de la vérification de l'état de fonctionnement, et la vérification échoue si aucun port n'est spécifié dans la configuration de l'annuaire des services.

  • La configuration du test de disponibilité doit spécifier le champ checker_type avec la valeur VPC_CHECKERS. Cette valeur est requise pour les vérifications de disponibilité privées. Par défaut, les tests de disponibilité sont publics. Il n'est donc pas nécessaire de spécifier ce champ.

Le code JSON suivant illustre un objet UptimeCheckConfig pour un test de disponibilité privé à l'aide des ressources de l'annuaire des services configurées pour une instance de VM sur un réseau privé:

{
  "displayName": "private-check-demo",
  "monitoredResource": {
    "type": "servicedirectory_service",
    "labels": {
      "project_id": "SERVICE_DIRECTORY_PROJECT_ID",
      "service_name": "PRIVATE_SERVICE",
      "namespace_name": "PRIVATE_NAMESPACE",
      "location": "REGION"
    }
  },
  "httpCheck": {
    "requestMethod": "GET"
  },
  "period": "60s",
  "timeout": "10s",
  "checker_type": "VPC_CHECKERS"
}'

Pour créer un test de disponibilité privé lorsque le service Annuaire des services se trouve dans un projet Google Cloud surveillé par le champ d'application des métriques du projet Google Cloud du test de disponibilité, procédez comme suit:

  1. Configurez gcloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel la vérification de l'état de disponibilité doit être créée:

    gcloud config set project PROJECT_ID

  2. Créez une variable d'environnement destinée à stocker l'ID de votre projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Créez une variable d'environnement pour stocker l'ID de projet du projet Google Cloud dans lequel le service Annuaire des services est défini:

    export MONITORED_PROJECT_ID=MONITORED_PROJECT_ID

    Ce projet doit se trouver dans le champ d'application des métriques du projet du test de disponibilité.

  4. Créez une variable d'environnement contenant un jeton d'accès:

    export TOKEN=`gcloud auth print-access-token`

  5. Utilisez l'outil curl pour appeler la méthode uptimeCheckConfigs.create et y publier un objet de configuration:

    curl https://monitoring.googleapis.com/v3/projects/${PROJECT_ID}/uptimeCheckConfigs \
-H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
--request POST --data '{
"displayName": "private-check-demo",
"monitoredResource": {
  "type": "servicedirectory_service",
  "labels": {
    "project_id": "'"$MONITORED_PROJECT_ID"'",
    "service_name": "PRIVATE_SERVICE",
    "namespace_name": "PRIVATE_NAMESPACE",
    "location": "REGION"
  }
},
"httpCheck": {
  "requestMethod": "GET"
},
"period": "60s",
"timeout": "10s",
"checker_type": "VPC_CHECKERS"
}'

Si la création du test de disponibilité échoue, vérifiez que le compte de service dispose des rôles nécessaires. Pour en savoir plus, consultez Échec de la création d'un test de disponibilité.

Il peut s'écouler jusqu'à 5 minutes avant que les résultats du test de disponibilité ne commencent à parvenir à Monitoring. Pendant ce temps, le tableau de bord du test de disponibilité indique l'état "aucune donnée disponible".

Étapes préalables

Si vous prévoyez d'utiliser l'interface de la console Google Cloud, consultez Créer un test de disponibilité privé. La console Google Cloud vous guide tout au long des étapes préalables.

Si vous prévoyez d'utiliser la ligne de commande pour configurer vos tests de disponibilité privés, vous devez suivre les étapes suivantes avant de pouvoir créer le test de disponibilité:

  1. Configurer les ressources de l'annuaire des services
  2. Autoriser le compte de service
  3. Configurer des règles de pare-feu

Configurer les ressources de l'annuaire des services

Les tests de disponibilité privés déterminent la disponibilité d'une ressource à l'aide d'une adresse IP interne enregistrée par un service Annuaire des services. Vous pouvez configurer un Annuaire des services pour les ressources suivantes:

  • VM sur un réseau privé
  • Équilibreurs de charge internes L4

Pour utiliser les tests de disponibilité privés, vous devez configurer les ressources de l'Annuaire des services suivantes:

  • Point de terminaison: point de terminaison est une paire d'adresse IP et de valeurs de port qu'un service peut utiliser pour traiter les requêtes. Lorsque votre service contient plusieurs points de terminaison, l'un d'entre eux est choisi au hasard.
  • Service: un service est un ensemble de points de terminaison qui fournissent un ensemble de comportements. Les services sont les cibles des tests de disponibilité privés.
  • Espace de noms: un espace de noms contient un ensemble de noms de services et leurs points de terminaison associés. Les espaces de noms vous permettent de regrouper des services pour une gestion cohérente.

Vous pouvez configurer ces ressources avec gcloud CLI ou la console Google Cloud. Lorsque vous utilisez la console, les étapes de configuration sont incluses dans la boîte de dialogue Créer un test de disponibilité.

Console Google Cloud

Lorsque vous utilisez la console Google Cloud, après avoir sélectionné Adresse IP interne comme type de ressource pour un test de disponibilité, vous êtes invité à créer un Annuaire des services et un service.

Gcloud CLI : VM

Pour en savoir plus sur les commandes utilisées dans ce document pour les services, les espaces de noms et les points de terminaison, consultez le groupe de commandes gcloud service-directory.

Pour créer des ressources de l'Annuaire des services pour une VM, procédez comme suit:

  1. Configurez la Google Cloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel les ressources de l'Annuaire des services doivent être créées:

    gcloud config set project PROJECT_ID

  2. Créez des variables d'environnement pour stocker l'ID et le numéro de votre projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Créez un espace de noms de l'annuaire des services:

    gcloud service-directory namespaces create PRIVATE_NAMESPACE --location=REGION

  4. Créez un service de l'Annuaire des services dans l'espace de noms:

    gcloud service-directory services create PRIVATE_SERVICE \
--namespace PRIVATE_NAMESPACE --location=REGION

  5. Créez une variable d'environnement pour contenir l'adresse IP de la VM sur le réseau privé:

    export INTERNAL_IP=$(gcloud compute instances describe --zone=ZONE \
PRIVATE_SERVICE_INSTANCE --format='get(networkInterfaces[0].networkIP)')

  6. Créez un point de terminaison de l'annuaire des services contenant l'adresse IP interne et un port:

    gcloud service-directory endpoints create PRIVATE_ENDPOINT \
--location=REGION --namespace=PRIVATE_NAMESPACE \
--service=PRIVATE_SERVICE \
--network=projects/$PROJECT_NUMBER/locations/global/networks/PRIVATE_CHECK_NETWORK \
--address=$INTERNAL_IP --port=80

Gcloud CLI : ILB L4

Pour en savoir plus sur les commandes utilisées dans ce document pour les services, les espaces de noms et les points de terminaison, consultez le groupe de commandes gcloud service-directory.

Vous pouvez utiliser des tests de disponibilité privés pour surveiller la disponibilité d'un équilibreur de charge interne (ILB) de couche 4 en créant des ressources de l'annuaire des services pour l'ILB de couche 4.

Lorsque vous créez des équilibreurs de charge internes de niveau 4, vous pouvez utiliser l'intégration automatique fournie par l'Annuaire des services. Pour en savoir plus, consultez la section Configurer des équilibreurs de charge internes dans l'Annuaire des services.

Si vous avez créé des équilibreurs de charge de niveau 4 sans utiliser l'intégration automatique fournie par l'Annuaire des services, vous pouvez configurer manuellement les ressources de l'Annuaire des services en procédant comme suit:

  1. Configurez la Google Cloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel les ressources de l'Annuaire des services doivent être créées:

    gcloud config set project PROJECT_ID

  2. Créez des variables d'environnement pour stocker l'ID et le numéro de votre projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Pour autoriser tous les vérificateurs de disponibilité à transférer des données vers votre ILB de niveau 4, activez l'accès global à l'ILB:

    gcloud compute forwarding-rules update ILB_FORWARDING_RULE_NAME \
--region=ILB_REGION --allow-global-access

    Si votre équilibreur de charge interne de couche 4 n'autorise pas l'accès mondial, les métriques de disponibilité ne sont disponibles que si ILB_REGION est l'une des valeurs suivantes:

    • us-east4
    • us-central1
    • us-west1
    • europe-west1
    • southamerica-east1
    • asia-southeast1

  4. Créez un espace de noms de l'annuaire des services:

    gcloud service-directory namespaces create PRIVATE_NAMESPACE_FOR_ILB\
--location=REGION

  5. Créez un service de l'Annuaire des services dans l'espace de noms:

    gcloud service-directory services create PRIVATE_SERVICE_FOR_ILB \
--namespace PRIVATE_NAMESPACE_FOR_ILB --location=REGION

  6. Créez une variable d'environnement pour contenir l'adresse IP de l'équilibreur de charge sur le réseau privé:

    export INTERNAL_IP=$( gcloud compute forwarding-rules describe ILB_FORWARDING_RULE_NAME\
--region=ILB_REGION --format='get(IPAddress)')

  7. Créez un point de terminaison de l'annuaire des services contenant l'adresse IP interne et un port:

    gcloud service-directory endpoints create PRIVATE_ENDPOINT_FOR_ILB \
--location=ILB_REGION --namespace=PRIVATE_NAMESPACE_FOR_ILB \
--service=PRIVATE_SERVICE_FOR_ILB \
--network=projects/$PROJECT_NUMBER/locations/global/networks/PRIVATE_CHECK_NETWORK \
--address=$INTERNAL_IP --port=80

Autoriser le compte de service

Les vérifications de l'état de fonctionnement utilisent un compte de service appartenant à Monitoring pour gérer les interactions avec le service Annuaire des services. Le nom du compte de service a le format suivant :

service-PROJECT_NUMBER@gcp-sa-monitoring-notification.iam.gserviceaccount.com

Si ce compte de service n'existe pas, Monitoring le crée lorsque vous créez la vérification de l'état de disponibilité privé. Vous ne pouvez pas créer ce compte de service.

Lorsque vous créez une vérification de l'état de disponibilité privée, Monitoring tente d'accorder au compte de service deux rôles de l'Annuaire des services. Toutefois, lorsque vous utilisez l'API, les paramètres de votre projet Google Cloud peuvent empêcher Monitoring d'attribuer des rôles au compte de service. Dans ce cas, la création du test de disponibilité échoue.

Cette section explique comment attribuer les rôles requis à un compte de service existant:

Console Google Cloud

Lorsque vous utilisez la console Google Cloud, après avoir sélectionné Adresse IP interne comme type de ressource pour un test de disponibilité, vous êtes invité à autoriser le compte de service.

API: projet de définition du périmètre

Pour attribuer les rôles du service Directory à un compte de service existant, procédez comme suit:

  1. Configurez gcloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel la vérification de l'état de disponibilité doit être créée:

    gcloud config set project PROJECT_ID

  2. Créez des variables d'environnement pour stocker l'ID et le numéro du projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Exécutez les commandes suivantes :

    gcloud projects add-iam-policy-binding $PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.viewer'

    gcloud projects add-iam-policy-binding $PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.pscAuthorizedService'

    Les commandes précédentes attribuent les rôles suivants au compte de service:

    • roles/servicedirectory.viewer
    • roles/servicedirectory.pscAuthorizedService

API: projet surveillé

Pour attribuer les rôles du service Directory à un compte de service existant, procédez comme suit:

  1. Configurez gcloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel la vérification de l'état de disponibilité doit être créée:

    gcloud config set project PROJECT_ID

  2. Créez des variables d'environnement pour stocker l'ID et le numéro du projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Créez une variable d'environnement contenant l'ID de projet du projet dans lequel le service Annuaire des services est défini:

    export MONITORED_PROJECT_ID=MONITORED_PROJECT_ID

    Ce projet doit se trouver dans le champ d'application des métriques du projet du test de disponibilité.

  4. Créez une variable d'environnement contenant l'ID du projet dans lequel le réseau est défini:

    export NETWORK_PROJECT_ID=NETWORK_PROJECT_ID

    Ce projet ne doit pas nécessairement être inclus dans le champ d'application des métriques du projet de vérification de l'état de fonctionnement.

  5. Exécutez les commandes suivantes :

    gcloud projects add-iam-policy-binding $MONITORED_PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.viewer'

    gcloud projects add-iam-policy-binding $NETWORK_PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.pscAuthorizedService'

    Les commandes précédentes attribuent les rôles suivants au compte de service:

    • roles/servicedirectory.viewer pour le projet surveillé dans lequel le service d'annuaire des services est configuré, $SERVICE_MONITORED_PROJECT_ID.
    • roles/servicedirectory.pscAuthorizedService pour le projet dans lequel le réseau privé est configuré, $NETWORK_PROJECT_ID.

Configurer des règles de pare-feu

Vous devez créer une règle de pare-feu qui active le trafic TCP entrant à partir des routes 35.199.192.0/19. Une route à partir de 35.199.192.0/19 accepte la connectivité aux cibles de transfert qui utilisent le routage privé. Pour en savoir plus, consultez la section Routes VPC.

Console Google Cloud

Lorsque vous utilisez la console Google Cloud, après avoir sélectionné Adresse IP interne comme type de ressource pour un test de disponibilité, vous êtes invité à configurer les règles de pare-feu.

CLI gcloud

Pour créer une règle de pare-feu qui autorise le trafic TCP entrant via le pare-feu pour l'accès au réseau privé, exécutez la commande suivante:

  1. Configurez gcloud CLI pour qu'elle utilise par défaut le projet Google Cloud dans lequel la vérification de l'état de disponibilité doit être créée:

    gcloud config set project PROJECT_ID

  2. Créez des variables d'environnement pour stocker l'ID et le numéro du projet:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Créez la règle réseau:

    gcloud compute firewall-rules create PRIVATE_CHECK_NETWORK_HOPE_RULE \
--network="PRIVATE_CHECK_NETWORK"  \
--action=allow   --direction=ingress   --source-ranges="35.199.192.0/19" \
--rules=tcp   --project="$PROJECT_ID"

    Dans la commande précédente, PRIVATE_CHECK_NETWORK correspond au réseau auquel cette règle est associée, tandis que PRIVATE_CHECK_NETWORK_HOPE_RULE est le nom de la règle de pare-feu.

Pour en savoir plus sur cette étape, consultez la section Configurer le projet de réseau.

Limites

Lorsque vous utilisez des vérifications de disponibilité privées, la validation des certificats SSL est désactivée, quelle que soit la configuration.

Les vérifications de disponibilité privées ne sont pas compatibles avec les points de terminaison comportant des redirections.

Dépannage

Cette section décrit certaines erreurs que vous pouvez rencontrer lors de l'utilisation de vérifications de l'état de disponibilité privées et fournit des informations pour les résoudre.

Échec de la création du test de disponibilité

Les paramètres de votre projet Google Cloud peuvent empêcher la modification des rôles attribués au compte de service utilisé par les vérifications de l'état de disponibilité pour gérer les interactions avec le service Annuaire des services. Dans ce cas, la création du test de disponibilité échoue.

Cette section explique comment attribuer les rôles dont le compte de service a besoin:

Console Google Cloud

Lorsque vous utilisez la console Google Cloud pour créer la vérification de l'état de disponibilité privé, elle émet les commandes permettant d'attribuer les rôles de l'Annuaire des services au compte de service.

Pour savoir comment attribuer des rôles à un compte de service, consultez la section Autoriser le compte de service.

API: projet de définition du périmètre

Lorsque vous créez une vérification de l'état de disponibilité privée pour un service Annuaire des services et des ressources privées dans un seul projet Google Cloud, la requête peut réussir ou échouer. Le résultat dépend de la désactivation ou non des attributions automatiques de rôles pour les comptes de service dans votre projet:

  • La première création de vérification de l'état de fonctionnement aboutit si votre projet autorise l'attribution automatique de rôles aux comptes de service. Un compte de service est créé pour vous et se voit attribuer les rôles nécessaires.

  • La première création de vérification de l'état échoue si votre projet n'autorise pas les attributions automatiques de rôles aux comptes de service. Un compte de service est créé, mais aucun rôle n'est accordé.

Si la création du test de disponibilité échoue, procédez comme suit:

  1. Autorisez le compte de service.
  2. Patientez quelques minutes que les autorisations soient propagées.
  3. Essayez de créer à nouveau le test de disponibilité privé.

API: projet surveillé

La première fois que vous créez une vérification de l'état de disponibilité privée qui cible un service de l'annuaire des services dans un projet surveillé ou des ressources privées dans un autre projet Google Cloud, la requête échoue et un compte de service Monitoring est créé.

La manière dont vous autorisez le compte de service dépend du nombre de projets Google Cloud que vous utilisez et de leurs relations. Vous pouvez être impliqué dans quatre projets au maximum:

  • Projet dans lequel vous avez défini le test de disponibilité privé.
  • Projet surveillé dans lequel vous avez configuré le service Annuaire des services.
  • Projet dans lequel vous avez configuré le réseau VPC.
  • Projet dans lequel des ressources réseau telles que des VM ou des équilibreurs de charge sont configurées. Ce projet n'a aucun rôle dans l'autorisation de compte de service abordée ici.

Lorsque la création du premier test de disponibilité échoue, procédez comme suit:

  1. Autorisez le compte de service.
  2. Patientez quelques minutes que les autorisations soient propagées.
  3. Essayez de créer à nouveau le test de disponibilité privé.

Accès refusé

Vos tests de disponibilité échouent avec des résultats VPC_ACCESS_DENIED. Ce résultat signifie qu'un aspect de votre configuration réseau ou de l'autorisation de votre compte de service n'est pas correct.

Vérifiez l'autorisation de votre compte de service pour utiliser un projet de champ d'application ou un projet surveillé, comme décrit dans la section Échec de la création de la vérification de l'état de disponibilité.

Pour en savoir plus sur l'accès aux réseaux privés, consultez la section Configurer le projet de réseau.

Résultats anormaux des tests de disponibilité privés

Vous disposez d'un service de l'Annuaire des services avec plusieurs VM, et votre configuration de service contient plusieurs points de terminaison. Lorsque vous arrêtez l'une des VM, le test de disponibilité indique toujours que la VM est disponible.

Lorsque la configuration de votre service contient plusieurs points de terminaison, l'un d'eux est choisi au hasard. Si la VM associée au point de terminaison choisi est en cours d'exécution, le test de disponibilité aboutit, même si l'une des VM est indisponible.

En-têtes par défaut

Vos tests de disponibilité renvoient des erreurs ou des résultats inattendus. Cela peut se produire si vous avez remplacé les valeurs d'en-tête par défaut.

Lorsqu'une requête est envoyée pour une vérification de l'état de disponibilité privé à un point de terminaison cible, elle inclut les en-têtes et valeurs suivants:

En-tête Valeur
HTTP_USER_AGENT GoogleStackdriverMonitoring-UptimeChecks(https://cloud.google.com/monitoring)
HTTP_CONNECTION keep-alive
HTTP_HOST Adresse IP du point de terminaison de l'annuaire des services
HTTP_ACCEPT_ENCODING gzip, deflate, br
CONTENT_LENGTH Calculé à partir des données de publication sur la disponibilité

Si vous essayez de remplacer ces valeurs, les conséquences suivantes peuvent se produire:

  • Le test de disponibilité signale des erreurs
  • Les valeurs de forçage sont supprimées et remplacées par celles du tableau.

Aucune donnée visible

Aucune donnée ne s'affiche dans le tableau de bord de vérification de la disponibilité lorsque votre vérification de la disponibilité se trouve dans un projet Google Cloud différent du service Annuaire des services.

Assurez-vous que le projet Google Cloud contenant la vérification de l'état de fonctionnement surveille le projet Google Cloud contenant le service d'annuaire des services.

Pour savoir comment lister les projets surveillés et en ajouter, consultez la section Configurer un champ d'application des métriques pour plusieurs projets.

Étape suivante