Creare controlli di uptime privati

Questo documento descrive come configurare un controllo di uptime privato. I controlli di uptime privati consentono le richieste HTTP o TCP in una rete Virtual Private Cloud (VPC) del cliente, applicando al contempo le limitazioni di Identity and Access Management (IAM) e i perimetri dei Controlli di servizio VPC. I controlli di uptime privati possono inviare richieste sulla rete privata a risorse come una macchina virtuale (VM) o un bilanciatore del carico interno (ILB) L4.

Gli indirizzi IP interni per le risorse sulla rete privata vengono registrati dai servizi Service Directory con l'accesso alla rete privata abilitato. Per utilizzare i controlli di uptime privati, devi configurare l'accesso alla rete privata utilizzando il prodotto Service Directory.

Il progetto Google Cloud che archivia il controllo di uptime privato e il progetto Google Cloud che archivia il servizio Service Directory possono essere progetti diversi. Cloud Monitoring ti consente di monitorare le risorse in più progettiGoogle Cloud da un unico progetto utilizzando un ambito delle metriche. Il progetto in cui è definito il controllo di uptime è il progetto di definizione dell'ambito di un ambito delle metriche; l'ambito delle metriche è un elenco di tutti i progetti monitorati dal progetto di definizione dell'ambito. Il servizio Service Directory potrebbe essere definito nel progetto di ambito o in un progetto nell'ambito delle metriche. Per ulteriori informazioni sugli ambiti delle metriche, consulta la panoramica degli ambiti delle metriche.

La rete privata e le relative risorse, come VM o bilanciatori del carico, possono trovarsi anche in un progetto Google Cloud diverso. Questo progetto non deve trovarsi nell'ambito delle metriche del progetto di definizione dell'ambito del controllo di uptime. Il servizio Service Directory raccoglie le metriche di uptime, quindi deve trovarsi nell'ambito delle metriche, ma le risorse che incapsula no.

Questo documento descrive come configurare una rete privata e configurare le risorse Service Directory per la rete utilizzando la console Google Cloud o l'API. Gli esempi di API presuppongono che la rete privata e il servizio Service Directory si trovino nel progetto di ambito del controllo di uptime. Tuttavia, Crea un controllo di uptime privato descrive anche come utilizzare l'API per creare un controllo di uptime che utilizza un servizio Service Directory nell'ambito delle metriche.

Per informazioni su come configurare i controlli di uptime che utilizzano indirizzi IP pubblici, consulta Creare controlli di uptime pubblici. Per informazioni sulla gestione e sul monitoraggio dei controlli di uptime, consulta la sezione Passaggi successivi di questo documento.

Questa funzionalità è supportata solo per i progetti Google Cloud . Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione della cartella app.

Prima di iniziare

  1. Abilita le seguenti API:

    • API Cloud Monitoring: monitoring.googleapis.com
    • API Service Directory: servicedirectory.googleapis.com
    • API Service Networking: servicenetworking.googleapis.com
    • API Compute Engine: compute.googleapis.com

    Puoi abilitare le API utilizzando gcloud CLI o la consoleGoogle Cloud . Le seguenti schede descrivono come installare gcloud CLI e abilitare l'API Cloud Monitoring:

    Console Google Cloud

    1. Nella console Google Cloud , seleziona il progetto Google Cloud per cui vuoi abilitare l'API e poi vai alla pagina API e servizi:

      Vai su API e servizi

    2. Fai clic sul pulsante Abilita API e servizi.

    3. Cerca "Monitoraggio".

    4. Nei risultati di ricerca, fai clic su "API Stackdriver Monitoring".

    5. Se viene visualizzato il messaggio "API abilitata", l'API è già abilitata. In caso contrario, fai clic su Attiva.

    Interfaccia a riga di comando gcloud

    1. Se non hai ancora installato Google Cloud CLI sulla tua workstation, vedi Installare gcloud CLI.

    2. Per verificare se l'API Monitoring è abilitata, esegui il seguente comando sulla tua workstation, dopo aver sostituito PROJECT_ID con l'ID del progetto per cui vuoi abilitare l'API:

      gcloud services list --project=PROJECT_ID

      Se nell'output viene visualizzato monitoring.googleapis.com, l'API è abilitata.

    3. Se l'API non è abilitata, esegui il seguente comando per abilitarla:

      gcloud services enable monitoring --project=PROJECT_ID

      Per ulteriori informazioni, vedi gcloud services.

    Puoi utilizzare gli stessi passaggi per abilitare le altre API:

    • Per utilizzare la console Google Cloud , cerca il nome visualizzato, ad esempio "API Service Directory".
    • Per utilizzare gcloud CLI, specifica il primo elemento del nome googleapis.com, ad esempio servicedirectory.

  2. Configura i canali di notifica che vuoi utilizzare per ricevere le notifiche. Ti consigliamo di creare più tipi di canali di notifica. Per saperne di più, consulta la pagina Crea e gestisci canali di notifica.

  3. Configura una rete privata e una VM o un bilanciamento del carico interno per avere accesso a questa rete privata. Per ulteriori informazioni, consulta Accesso privato ai servizi.

    I controlli privati che hanno come target i bilanciatori del carico interni sono limitati alle regioni con i controlli di uptime. La regione di controllo dell'uptime USA include le regioni USA_OREGON, USA_IOWA e USA_VIRGINIA. Ciascuna delle regioni USA_* ha un controllo e USA include tutti e tre. Le altre regioni di controllo dell'uptime, EUROPE, SOUTH_AMERICA e ASIA_PACIFIC, hanno ciascuna un checker. Per rimuovere questa limitazione, devi configurare l'accesso globale al bilanciatore del carico. Per saperne di più su come configurare l'accesso globale, consulta la scheda ILB nella sezione Configurare le risorse di Service Directory di questo documento.

    Se prevedi di controllare un bilanciamento del carico interno che non consente l'accesso globale, seleziona una delle seguenti regioni per il bilanciamento del carico interno:

    • us-east4
    • us-central1
    • us-west1
    • europe-west1
    • southamerica-east1
    • asia-southeast1

  4. Determina quale interfaccia utilizzare:

    • ConsoleGoogle Cloud : consente di creare un controllo di uptime quando una VM gestisce le richieste. Questa interfaccia ti guida nella configurazione delle risorse Service Directory, nell'autorizzazione del account di servizio e nella configurazione delle regole del firewall di rete.

    • Interfacce a riga di comando: puoi utilizzare Google Cloud CLI e l'API Cloud Monitoring per creare controlli di uptime privati quando i bilanciatori del carico interni e le VM gestiscono le richieste.

  5. Se prevedi di utilizzare la riga di comando per configurare i controlli di uptime privati, completa i passaggi dei prerequisiti.

Crea un controllo di uptime privato

Questa sezione spiega come creare e configurare controlli di uptime privati dei servizi Service Directory:

  • Per utilizzare la console Google Cloud , seleziona la scheda ConsoleGoogle Cloud .

  • Per utilizzare l'API Cloud Monitoring e configurare il servizio Service Directory in modo che si trovi nello stesso progetto Google Cloud del controllo di uptime, seleziona la scheda API: progetto di scoping.

  • Per utilizzare l'API Cloud Monitoring e configurare il servizio Service Directory in modo che si trovi in un progetto monitorato dall'ambito delle metriche del progetto del controllo di uptime, seleziona la scheda API: progetto monitorato.

Console Google Cloud

Per creare un controllo di uptime utilizzando la console Google Cloud :

  1. Nella console Google Cloud , vai alla pagina  Controlli di uptime:

    Vai a Controlli di uptime

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nella barra degli strumenti della console Google Cloud , seleziona il tuo progetto Google Cloud . Per le configurazioni di App Hub, seleziona il progetto host di App Hub o il progetto di gestione della cartella app.

  3. Fai clic su Crea controllo di uptime.

    Finestra di dialogo Crea un controllo di uptime.

  4. Specifica un controllo di uptime privato:

    1. Seleziona il protocollo, che può essere HTTP, HTTPS o TCP.

    2. Scegli il tipo di risorsa IP interno.

  5. Se non hai configurato un servizio Service Directory per il tuo progetto o se vuoi crearne uno, fai clic su Visualizza e completa il riquadro Prerequisiti per il controllo di uptime privato:

    1. Se richiesto, abilita l'API Compute Engine o l'API Service Directory. L'abilitazione delle API potrebbe richiedere un minuto.

    2. Espandi Service Account, se visualizzato, quindi fai clic su Crea service account.

      Quando un account di servizio Monitoring non esiste, ne viene creato uno. Poi, Monitoring concede al account di servizio due ruoli Service Directory.

    3. Espandi il menu Service Directory e poi segui questi passaggi:

      1. Espandi Regione e poi seleziona la regione della VM che gestisce le richieste.
      2. Espandi Spazio dei nomi, quindi seleziona uno spazio dei nomi Service Directory esistente o fai clic su Crea spazio dei nomi e crea uno spazio dei nomi.
      3. Fai clic su Nome servizio e inserisci un nome per il servizio. I servizi sono i target dei controlli di uptime privati.
      4. Fai clic su Nome endpoint e inserisci un nome per l'endpoint. Un endpoint è una coppia di valori di indirizzo IP e porta che un servizio può utilizzare per gestire le richieste. Quando il servizio contiene più endpoint, ne viene scelto uno in modo casuale.
      5. Espandi Rete e poi seleziona la tua rete privata.
      6. Espandi Istanza e poi seleziona la VM sulla rete privata che gestisce le richieste. Dopo aver selezionato l'istanza, viene visualizzato il relativo indirizzo IP interno.
      7. Fai clic su Fine.

    4. Espandi Regole firewall:

      1. Espandi Rete e seleziona la rete a cui è collegata la regola di rete.

      2. Fai clic su Crea regole firewall.

        La regola firewall consente il traffico TCP in entrata dalle route 35.199.192.0/19. Una route da 35.199.192.0/19 supporta la connettività alle destinazioni di inoltro che utilizzano il routing privato. Per saperne di più, consulta la sezione Route VPC.

  6. Nel riquadro Controllo di uptime privato, per specificare il servizio Service Directory da utilizzare, esegui una delle seguenti operazioni:

    • Seleziona Utilizza il nome completo del servizio e poi inserisci il nome completo del servizio:

      projects/SERVICE_DIRECTORY_PROJECT_ID/locations/REGION/namespaces/PRIVATE_NAMESPACE/services/PRIVATE_SERVICE

    • Seleziona Regione, Spazio dei nomi e Servizio utilizzando i menu. Se hai creato un servizio, questi campi vengono selezionati automaticamente.

  7. Nel riquadro Controllo di uptime privato, completa la descrizione della destinazione del controllo di uptime:

    1. (Facoltativo) Inserisci un componente del percorso per la richiesta.

      I controlli di uptime privati che utilizzano il protocollo HTTP o HTTPS inviano una richiesta a http://target/path. In questa espressione, target è l'indirizzo IP interno configurato nell'endpoint Service Directory.

      Se lasci vuoto il campo Percorso o se imposti il valore su /, la richiesta viene inviata a http://target/.

    2. (Facoltativo) Per impostare la frequenza di esecuzione del controllo dell'uptime, utilizza il campo Frequenza di controllo.

    3. (Facoltativo) Per selezionare le regioni del controllo o per configurare l'autenticazione, le intestazioni per i controlli HTTP e HTTPS e altri valori, fai clic su Altre opzioni di destinazione:

      • Regioni: seleziona le regioni in cui i controlli di uptime devono ricevere richieste. Un controllo di uptime deve avere almeno tre checker. In tutte le regioni, tranne negli Stati Uniti, è presente un solo centro di controllo, che ne hanno tre. L'impostazione predefinita, Globale, include tutte le regioni.
      • Metodo richiesta: seleziona GET o POST.
      • Body: per i controlli HTTP POST, inserisci il corpo codificato con URL. Devi eseguire la codifica manualmente. Per tutti gli altri controlli, lascia vuoto questo campo.
      • Intestazione host: non impostare questo campo quando configuri controlli di uptime privati.
      • Porta: qualsiasi valore impostato qui sostituisce la porta nella configurazione dell'endpoint di Service Directory. Non impostare un valore qui se vuoi che venga utilizzata la configurazione dell'endpoint.
      • Intestazioni personalizzate: fornisci intestazioni personalizzate e, se vuoi, criptale. La crittografia nasconde i valori nell'intestazione del modulo. Utilizza la crittografia per le intestazioni relative all'autenticazione che non vuoi rendere visibili ad altri.
      • Autenticazione: fornisci un singolo nome utente e una singola password. Questi valori vengono inviati come intestazione di autorizzazione. Se imposti i valori qui, non impostare un'intestazione di autorizzazione separata; se imposti un'intestazione di autorizzazione, non impostare i valori qui. Le password sono sempre nascoste nel modulo.

  8. Fai clic su Continua e configura i requisiti di risposta. Tutte le impostazioni in questa sezione hanno valori predefiniti:

    • Per impostare un periodo di timeout per il controllo di uptime, utilizza il campo Timeout risposta. Un controllo di uptime non viene superato quando non viene ricevuta alcuna risposta da più di una località entro questo periodo.

    • Per configurare il controllo di uptime in modo da eseguire la corrispondenza dei contenuti, assicurati che l'etichetta del pulsante di attivazione/disattivazione sia La corrispondenza dei contenuti è abilitata:

      • Seleziona il Tipo di corrispondenza dei contenuti della risposta dal menu delle opzioni. Questo campo determina il modo in cui i contenuti della risposta vengono confrontati con i dati restituiti. Ad esempio, supponiamo che i contenuti della risposta siano abcd e che il tipo di corrispondenza dei contenuti sia Contiene. Il controllo di uptime ha esito positivo solo quando i dati di risposta contengono abcd. Per maggiori informazioni, consulta la sezione Convalidare i dati di risposta.
      • Inserisci i contenuti della risposta. Il contenuto della risposta deve essere una stringa non più lunga di 1024 byte. Nell'API, questo campo è l'oggetto ContentMatcher.

    • Per impedire la creazione di voci di log a causa dei controlli di uptime, deseleziona Logging degli errori dei controlli.

    • Per i controlli di uptime HTTP, configura i codici di risposta accettabili. Per impostazione predefinita, i controlli di uptime HTTP contrassegnano qualsiasi risposta 2xx come risposta riuscita.

  9. Fai clic su Continua e configura le policy di avviso e le notifiche.

    Per ricevere una notifica quando un controllo di uptime non va a buon fine, crea un criterio di avviso e configura i canali di notifica per questo criterio:

    1. (Facoltativo) Aggiorna il nome della criterio di avviso.
    2. (Facoltativo) Nel campo Durata, seleziona per quanto tempo i controlli di uptime devono avere esito negativo prima dell'invio delle notifiche. Per impostazione predefinita, le notifiche vengono inviate quando almeno due regioni segnalano errori di controllo di uptime per una durata di almeno un minuto.

    3. Nella casella Canali di notifica, espandi il menu, seleziona i canali da aggiungere e fai clic su Ok.

      Nel menu, i canali di notifica sono raggruppati in ordine alfabetico per ogni tipo di canale.

    Se non vuoi creare un criterio di avviso, assicurati che il testo del pulsante di attivazione/disattivazione sia Non creare un avviso.

  10. Fai clic su Continua e completa il controllo di uptime:

    1. Inserisci un titolo descrittivo per il controllo di uptime.

    2. (Facoltativo) Per aggiungere etichette definite dall'utente al controllo dell'uptime, segui questi passaggi:

      1. Fai clic su Mostra etichette utente.
      2. Nel campo Chiave, inserisci un nome per l'etichetta. I nomi delle etichette devono iniziare con una lettera minuscola e possono contenere lettere minuscole, numeri, trattini bassi e trattini. Ad esempio, inserisci severity.
      3. Nel campo Valore, inserisci un valore per l'etichetta. I valori delle etichette possono contenere lettere minuscole, numeri, trattini bassi e trattini. Ad esempio, inserisci critical.
      4. Per ogni etichetta aggiuntiva, fai clic su Aggiungi etichetta utente e poi inserisci la chiave e il valore dell'etichetta.

    3. Per verificare la configurazione del controllo di uptime, fai clic su Test. Se il risultato non è quello previsto, consulta la sezione Risoluzione dei problemi, correggi la configurazione e ripeti il passaggio di verifica.

    4. Fai clic su Crea.

API: Progetto di definizione dell'ambito

Per creare la configurazione per un controllo di uptime privato, crea un oggetto UptimeCheckConfig e passalo al metodo uptimeCheckConfigs.create nell'API Cloud Monitoring.

L'oggetto UptimeCheckConfig per un controllo di uptime privato differisce dall'oggetto per un controllo di uptime pubblico nei seguenti modi:

  • La risorsa monitorata specificata nella configurazione del controllo di uptime deve essere di tipo servicedirectory_service. Questo tipo di risorsa ha le seguenti etichette:

    • project_id: l'ID progetto associato al servizio Service Directory.
    • location: la regione cloud associata al servizio.
    • namespace_name: lo spazio dei nomi Service Directory.
    • service_name: il nome del servizio Service Directory.

  • Non è necessario specificare un valore port nella configurazione del controllo dell'uptime. Il valore della porta dell'endpoint Service Directory sostituisce qualsiasi valore impostato nella configurazione del controllo di uptime e il controllo non riesce se non viene specificata alcuna porta nella configurazione di Service Directory.

  • La configurazione del controllo di uptime deve specificare il campo checker_type con il valore VPC_CHECKERS. Questo valore è obbligatorio per i controlli privati dell'uptime. Per impostazione predefinita, i controlli di uptime sono pubblici, quindi i controlli di uptime pubblici non devono specificare questo campo.

Il seguente codice JSON mostra un oggetto UptimeCheckConfig per un controllo di uptime privato che utilizza le risorse Service Directory configurate per un'istanza VM su una rete privata:

{
  "displayName": "private-check-demo",
  "monitoredResource": {
    "type": "servicedirectory_service",
    "labels": {
      "project_id": "SERVICE_DIRECTORY_PROJECT_ID",
      "service_name": "PRIVATE_SERVICE",
      "namespace_name": "PRIVATE_NAMESPACE",
      "location": "REGION"
    }
  },
  "httpCheck": {
    "requestMethod": "GET"
  },
  "period": "60s",
  "timeout": "10s",
  "checker_type": "VPC_CHECKERS"
}'

Per creare un controllo di uptime privato quando il servizio Service Directory si trova nello stesso progetto Google Cloud del controllo di uptime, procedi nel seguente modo:

  1. Imposta il progetto Google Cloud predefinito per gcloud CLI:

    gcloud config set project PROJECT_ID

  2. Crea una variabile di ambiente per archiviare l'ID progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Crea una variabile di ambiente per contenere un token di accesso:

    export TOKEN=`gcloud auth print-access-token`

  4. Utilizza lo strumento curl per richiamare il metodo uptimeCheckConfigs.create e pubblicare un oggetto di configurazione:

    curl https://monitoring.googleapis.com/v3/projects/${PROJECT_ID}/uptimeCheckConfigs \
-H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
--request POST --data '{
"displayName": "private-check-demo",
"monitoredResource": {
  "type": "servicedirectory_service",
  "labels": {
    "project_id": "'"$PROJECT_ID"'",
    "service_name": "PRIVATE_SERVICE",
    "namespace_name": "PRIVATE_NAMESPACE",
    "location": "REGION"
  }
},
"httpCheck": {
  "requestMethod": "GET"
},
"period": "60s",
"timeout": "10s",
"checker_type": "VPC_CHECKERS"
}'

Se la creazione del controllo di uptime non riesce, verifica che l'account di servizio disponga dei ruoli necessari. Per saperne di più, consulta La creazione del controllo di uptime non va a buon fine.

API: Progetto monitorato

Per creare la configurazione per un controllo di uptime privato, crea un oggetto UptimeCheckConfig e passalo al metodo uptimeCheckConfigs.create nell'API Cloud Monitoring.

L'oggetto UptimeCheckConfig per un controllo di uptime privato differisce dall'oggetto per un controllo di uptime pubblico nei seguenti modi:

  • La risorsa monitorata specificata nella configurazione del controllo di uptime deve essere di tipo servicedirectory_service. Questo tipo di risorsa ha le seguenti etichette:

    • project_id: l'ID progetto associato al servizio Service Directory.
    • location: la regione cloud associata al servizio.
    • namespace_name: lo spazio dei nomi Service Directory.
    • service_name: il nome del servizio Service Directory.

  • Non è necessario specificare un valore port nella configurazione del controllo dell'uptime. Il valore della porta dell'endpoint Service Directory sostituisce qualsiasi valore impostato nella configurazione del controllo di uptime e il controllo non riesce se non viene specificata alcuna porta nella configurazione di Service Directory.

  • La configurazione del controllo di uptime deve specificare il campo checker_type con il valore VPC_CHECKERS. Questo valore è obbligatorio per i controlli privati dell'uptime. Per impostazione predefinita, i controlli di uptime sono pubblici, quindi i controlli di uptime pubblici non devono specificare questo campo.

Il seguente codice JSON mostra un oggetto UptimeCheckConfig per un controllo di uptime privato che utilizza le risorse Service Directory configurate per un'istanza VM su una rete privata:

{
  "displayName": "private-check-demo",
  "monitoredResource": {
    "type": "servicedirectory_service",
    "labels": {
      "project_id": "SERVICE_DIRECTORY_PROJECT_ID",
      "service_name": "PRIVATE_SERVICE",
      "namespace_name": "PRIVATE_NAMESPACE",
      "location": "REGION"
    }
  },
  "httpCheck": {
    "requestMethod": "GET"
  },
  "period": "60s",
  "timeout": "10s",
  "checker_type": "VPC_CHECKERS"
}'

Per creare un controllo di uptime privato quando il servizio Service Directory si trova in un progetto Google Cloud monitorato dall'ambito delle metriche del progettoGoogle Cloud del controllo di uptime:

  1. Configura gcloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui deve essere creato il controllo di uptime:

    gcloud config set project PROJECT_ID

  2. Crea una variabile di ambiente per archiviare l'ID progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Crea una variabile di ambiente per archiviare l'ID progetto del Google Cloud progetto in cui è definito il servizio Service Directory:

    export MONITORED_PROJECT_ID=MONITORED_PROJECT_ID

    Questo progetto deve rientrare nell'ambito delle metriche del progetto del controllo di uptime.

  4. Crea una variabile di ambiente per contenere un token di accesso:

    export TOKEN=`gcloud auth print-access-token`

  5. Utilizza lo strumento curl per richiamare il metodo uptimeCheckConfigs.create e pubblicare un oggetto di configurazione:

    curl https://monitoring.googleapis.com/v3/projects/${PROJECT_ID}/uptimeCheckConfigs \
-H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
--request POST --data '{
"displayName": "private-check-demo",
"monitoredResource": {
  "type": "servicedirectory_service",
  "labels": {
    "project_id": "'"$MONITORED_PROJECT_ID"'",
    "service_name": "PRIVATE_SERVICE",
    "namespace_name": "PRIVATE_NAMESPACE",
    "location": "REGION"
  }
},
"httpCheck": {
  "requestMethod": "GET"
},
"period": "60s",
"timeout": "10s",
"checker_type": "VPC_CHECKERS"
}'

Se la creazione del controllo di uptime non riesce, verifica che l'account di servizio disponga dei ruoli necessari. Per saperne di più, consulta La creazione del controllo di uptime non va a buon fine.

Potrebbe verificarsi un ritardo fino a 5 minuti prima che i risultati del controllo di uptime inizino a essere visualizzati in Monitoring. Durante questo periodo, la dashboard di controllo dell'uptime indica lo stato "Nessun dato disponibile".

Passaggi preliminari

Se prevedi di utilizzare l'interfaccia della console Google Cloud , vai a Crea un controllo di uptime privato. La consoleGoogle Cloud ti guida in tutti i passaggi preliminari.

Se prevedi di utilizzare la riga di comando per configurare i controlli di uptime privati, devi completare i seguenti passaggi prima di poter creare il controllo di uptime:

  1. Configurare le risorse di Service Directory
  2. Autorizzare l'account di servizio
  3. Configura le regole firewall

Configurare le risorse di Service Directory

I controlli di uptime privati determinano la disponibilità di una risorsa utilizzando un indirizzo IP interno registrato da un servizio Service Directory. Puoi configurare una Service Directory per le seguenti risorse:

  • VM su una rete privata
  • Bilanciatori del carico interni L4 (ILB)

Per utilizzare i controlli di uptime privati, devi configurare le seguenti risorse Service Directory:

  • Endpoint: un endpoint è una coppia di valori di indirizzo IP e porta che un servizio può utilizzare per gestire le richieste. Quando il servizio contiene più endpoint, ne viene scelto uno in modo casuale.
  • Servizio: un servizio è una raccolta di endpoint che forniscono un insieme di comportamenti. I servizi sono i target dei controlli di uptime privati.
  • Spazio dei nomi: uno spazio dei nomi contiene un insieme di nomi di servizio e i relativi endpoint. Gli spazi dei nomi consentono di raggruppare i servizi per una gestione coerente.

Puoi configurare queste risorse con gcloud CLI o la consoleGoogle Cloud . Quando utilizzi la console, i passaggi di configurazione sono inclusi nella finestra di dialogo Crea controllo di uptime.

Console Google Cloud

Quando utilizzi la console Google Cloud , dopo aver selezionato IP interno come tipo di risorsa per un controllo di uptime, ti viene chiesto di creare un Service Directory e un servizio.

gcloud CLI - VM

Per informazioni sui comandi utilizzati in questo documento per servizi, spazi dei nomi ed endpoint, consulta il gruppo di comandi gcloud service-directory.

Per creare risorse Service Directory per una VM, svolgi le seguenti operazioni:

  1. Configura Google Cloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui vengono create le risorse Service Directory:

    gcloud config set project PROJECT_ID

  2. Crea variabili di ambiente per archiviare l'ID e il numero del progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Crea uno spazio dei nomi Service Directory:

    gcloud service-directory namespaces create PRIVATE_NAMESPACE --location=REGION

  4. Crea un servizio Service Directory nello spazio dei nomi:

    gcloud service-directory services create PRIVATE_SERVICE \
--namespace PRIVATE_NAMESPACE --location=REGION

  5. Crea una variabile di ambiente per contenere l'indirizzo IP della VM sulla rete privata:

    export INTERNAL_IP=$(gcloud compute instances describe --zone=ZONE \
PRIVATE_SERVICE_INSTANCE --format='get(networkInterfaces[0].networkIP)')

  6. Crea un endpoint Service Directory che contenga l'indirizzo IP interno e una porta:

    gcloud service-directory endpoints create PRIVATE_ENDPOINT \
--location=REGION --namespace=PRIVATE_NAMESPACE \
--service=PRIVATE_SERVICE \
--network=projects/$PROJECT_NUMBER/locations/global/networks/PRIVATE_CHECK_NETWORK \
--address=$INTERNAL_IP --port=80

gcloud CLI - L4 ILB

Per informazioni sui comandi utilizzati in questo documento per servizi, spazi dei nomi ed endpoint, consulta il gruppo di comandi gcloud service-directory.

Puoi utilizzare i controlli di uptime privati per monitorare la disponibilità di un bilanciatore del carico interno L4 creando risorse Service Directory per il bilanciatore del carico interno L4.

Quando crei nuovi bilanciatori del carico interni di livello 4, puoi utilizzare l'integrazione automatica fornita da Service Directory. Per saperne di più, consulta Configurare i bilanciatori del carico interni in Service Directory.

Se hai bilanciatori del carico L4 creati senza utilizzare l'integrazione automatica fornita da Service Directory, puoi configurare manualmente le risorse Service Directory procedendo nel seguente modo:

  1. Configura Google Cloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui vengono create le risorse Service Directory:

    gcloud config set project PROJECT_ID

  2. Crea variabili di ambiente per archiviare l'ID e il numero del progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Per consentire a tutti i controlli di uptime di trasferire i dati al tuo bilanciamento del carico interno L4, attiva l'accesso globale al bilanciamento del carico interno:

    gcloud compute forwarding-rules update ILB_FORWARDING_RULE_NAME \
--region=ILB_REGION --allow-global-access

    Se il bilanciatore del carico interno L4 non consente l'accesso globale, le metriche di uptime sono disponibili solo se ILB_REGION è uno dei seguenti:

    • us-east4
    • us-central1
    • us-west1
    • europe-west1
    • southamerica-east1
    • asia-southeast1

  4. Crea uno spazio dei nomi Service Directory:

    gcloud service-directory namespaces create PRIVATE_NAMESPACE_FOR_ILB\
--location=REGION

  5. Crea un servizio Service Directory nello spazio dei nomi:

    gcloud service-directory services create PRIVATE_SERVICE_FOR_ILB \
--namespace PRIVATE_NAMESPACE_FOR_ILB --location=REGION

  6. Crea una variabile di ambiente per contenere l'indirizzo IP del bilanciatore del carico sulla rete privata:

    export INTERNAL_IP=$( gcloud compute forwarding-rules describe ILB_FORWARDING_RULE_NAME\
--region=ILB_REGION --format='get(IPAddress)')

  7. Crea un endpoint Service Directory che contenga l'indirizzo IP interno e una porta:

    gcloud service-directory endpoints create PRIVATE_ENDPOINT_FOR_ILB \
--location=ILB_REGION --namespace=PRIVATE_NAMESPACE_FOR_ILB \
--service=PRIVATE_SERVICE_FOR_ILB \
--network=projects/$PROJECT_NUMBER/locations/global/networks/PRIVATE_CHECK_NETWORK \
--address=$INTERNAL_IP --port=80

Autorizzare il account di servizio

I controlli di uptime utilizzano un account di servizio di proprietà di Monitoring per gestire le interazioni con il servizio Service Directory. Il nome del account di servizio ha il seguente formato:

service-PROJECT_NUMBER@gcp-sa-monitoring-notification.iam.gserviceaccount.com

Quando questo account di servizio non esiste, Monitoring lo crea quando crei il controllo di uptime privato. Non puoi creare questo account di servizio.

Quando crei un controllo di uptime privato, Monitoring tenta di concedere alaccount di serviziot due ruoli Service Directory. Tuttavia, quando utilizzi l'API, le impostazioni del progetto potrebbero impedire a Monitoring di concedere ruoli al account di servizio account. Google Cloud In questa situazione, la creazione del controllo di uptime non va a buon fine.

Questa sezione descrive come concedere i ruoli richiesti a un account di serviziot esistente:

Console Google Cloud

Quando utilizzi la console Google Cloud , dopo aver selezionato IP interno come tipo di risorsa per un controllo di uptime, ti viene chiesto di autorizzare il account di servizio.

API: Progetto di definizione dell'ambito

Per concedere i ruoli Service Directory a un account di servizio esistente:

  1. Configura gcloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui deve essere creato il controllo di uptime:

    gcloud config set project PROJECT_ID

  2. Crea variabili di ambiente per archiviare l'ID e il numero di progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Esegui questi comandi:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.viewer'

    gcloud projects add-iam-policy-binding $PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.pscAuthorizedService'

    I comandi precedenti concedono i seguenti ruoli al account di servizio:

    • roles/servicedirectory.viewer
    • roles/servicedirectory.pscAuthorizedService

API: Progetto monitorato

Per concedere i ruoli Service Directory a un account di servizio esistente:

  1. Configura gcloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui deve essere creato il controllo di uptime:

    gcloud config set project PROJECT_ID

  2. Crea variabili di ambiente per archiviare l'ID e il numero di progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

export PROJECT_NUMBER=$(gcloud projects describe $PROJECT_ID --format='get(projectNumber)')

  3. Crea una variabile di ambiente che contenga l'ID progetto del progetto in cui è definito il servizio Service Directory:

    export MONITORED_PROJECT_ID=MONITORED_PROJECT_ID

    Questo progetto deve rientrare nell'ambito delle metriche del progetto del controllo di uptime.

  4. Crea una variabile di ambiente che contenga l'ID progetto del progetto in cui è definita la rete:

    export NETWORK_PROJECT_ID=NETWORK_PROJECT_ID

    Questo progetto non deve rientrare nell'ambito delle metriche del progetto del controllo di uptime.

  5. Esegui questi comandi:

    gcloud projects add-iam-policy-binding $MONITORED_PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.viewer'

    gcloud projects add-iam-policy-binding $NETWORK_PROJECT_ID \
--member='serviceAccount:service-'$PROJECT_NUMBER'@gcp-sa-monitoring-notification.iam.gserviceaccount.com' \
--role='roles/servicedirectory.pscAuthorizedService'

    I comandi precedenti concedono i seguenti ruoli al account di servizio:

    • roles/servicedirectory.viewer per il progetto monitorato in cui è configurato il servizio Service Directory,$SERVICE_MONITORED_PROJECT_ID.
    • roles/servicedirectory.pscAuthorizedService per il progetto in cui è configurata la rete privata, $NETWORK_PROJECT_ID.

Configurazione delle regole del firewall

Devi creare una regola firewall che consenta il traffico TCP in entrata dalle route 35.199.192.0/19. Una route da 35.199.192.0/19 supporta la connettività alle destinazioni di inoltro che utilizzano il routing privato. Per maggiori informazioni, consulta Route VPC.

Console Google Cloud

Quando utilizzi la console Google Cloud , dopo aver selezionato IP interno come tipo di risorsa per un controllo di uptime, ti viene chiesto di configurare le regole firewall.

Interfaccia a riga di comando gcloud

Per creare una regola firewall che consenta il traffico TCP in entrata attraverso il firewall per l'accesso alla rete privata, esegui questo comando:

  1. Configura gcloud CLI in modo che utilizzi per impostazione predefinita il progetto Google Cloud in cui deve essere creato il controllo di uptime:

    gcloud config set project PROJECT_ID

  2. Crea variabili di ambiente per archiviare l'ID e il numero di progetto:

    export PROJECT_ID=$(gcloud config get-value core/project)

  3. Crea la regola di rete:

    gcloud compute firewall-rules create PRIVATE_CHECK_NETWORK_HOPE_RULE \
--network="PRIVATE_CHECK_NETWORK"  \
--action=allow   --direction=ingress   --source-ranges="35.199.192.0/19" \
--rules=tcp   --project="$PROJECT_ID"

    Nel comando precedente, PRIVATE_CHECK_NETWORK è la rete a cui è collegata questa regola, mentre PRIVATE_CHECK_NETWORK_HOPE_RULE è il nome della regola firewall.

Per ulteriori informazioni su questo passaggio, vedi Configurare il progetto di rete.

Limitazioni

Quando utilizzi i controlli privati dell'uptime, la convalida dei certificati SSL è disattivata, indipendentemente dalla configurazione.

I controlli di uptime privati non supportano gli endpoint con reindirizzamenti.

Risoluzione dei problemi

Questa sezione descrive alcuni errori che potresti riscontrare durante l'utilizzo dei controlli di uptime privati e fornisce informazioni per risolverli.

La creazione del controllo di uptime non riesce

Le impostazioni del progetto Google Cloud potrebbero impedire la modifica dei ruoli assegnati al account di servizio utilizzato dai controlli di uptime per gestire le interazioni con il servizio Service Directory. In questa situazione, la creazione del controllo di uptime non va a buon fine.

Questa sezione descrive come concedere i ruoli richiesti dal account di servizio:

Console Google Cloud

Quando utilizzi la console Google Cloud per creare il controllo di uptime privato, la console Google Cloud emette i comandi per concedere i ruoli Service Directory al account di servizio.

Per informazioni su come concedere ruoli a un account di servizio, consulta Autorizzare il service account.

API: Progetto di definizione dell'ambito

La prima volta che crei un controllo di uptime privato per un servizio Service Directory e risorse private in un singolo progetto, la richiesta potrebbe riuscire o non riuscire. Google Cloud Il risultato dipende dal fatto che tu abbia disattivato la concessione automatica dei ruoli per i service account nel tuo progetto:

  • La prima creazione del controllo dell'uptime ha esito positivo se il tuo progetto consente la concessione automatica dei ruoli per i service account. Viene creato un account di servizio per te e gli vengono concessi i ruoli necessari.

  • La prima creazione del controllo di uptime non riesce se il tuo progetto non consente la concessione automatica dei ruoli per i service account. Viene creato un account di servizio, ma non vengono concessi ruoli.

Se la creazione del controllo di uptime non va a buon fine, procedi nel seguente modo:

  1. Autorizza l'account di servizio.
  2. Attendi alcuni minuti affinché le autorizzazioni vengano propagate.
  3. Prova a creare di nuovo il controllo di uptime privato.

API: Progetto monitorato

La prima volta che crei un controllo di uptime privato che ha come target un servizio Service Directory in un progetto monitorato o risorse private in un progetto Google Cloud diverso, la richiesta non va a buon fine e viene creato un account di servizio Monitoring.

La modalità di autorizzazione del account di servizio dipende dal numero di progettiGoogle Cloud che utilizzi e dalle loro relazioni. Potresti avere fino a quattro progetti coinvolti:

  • Il progetto in cui hai definito il controllo di uptime privato.
  • Il progetto monitorato in cui hai configurato il servizio Service Directory.
  • Il progetto in cui hai configurato la rete VPC.
  • Il progetto in cui sono configurate le risorse di rete come VM o bilanciatori del carico. Questo progetto non ha alcun ruolo nell'autorizzazione del service account descritta qui.

Quando la creazione del primo controllo di uptime non va a buon fine:

  1. Autorizza l'account di servizio.
  2. Attendi alcuni minuti affinché le autorizzazioni vengano propagate.
  3. Prova a creare di nuovo il controllo di uptime privato.

Accesso negato

I controlli di uptime non riescono a restituire risultati VPC_ACCESS_DENIED. Questo risultato significa che alcuni aspetti della configurazione di rete o dell'autorizzazione del service account non sono corretti.

Controlla l'autorizzazione del service account per l'utilizzo di un progetto di ambito o di un progetto monitorato, come descritto in La creazione del controllo di uptime non va a buon fine.

Per ulteriori informazioni sull'accesso alle reti private, consulta Configurare il progetto di rete.

Risultati anomali dei controlli di uptime privati

Hai un servizio Service Directory con più VM e la configurazione del servizio contiene più endpoint. Quando spegni una delle VM, il controllo di uptime indica comunque che l'operazione è riuscita.

Quando la configurazione del servizio contiene più endpoint, ne viene scelto uno in modo casuale. Se la VM associata all'endpoint scelto è in esecuzione, il controllo di uptime ha esito positivo anche se una delle VM non è attiva.

Intestazioni predefinite

I controlli di uptime restituiscono errori o risultati imprevisti. Ciò potrebbe verificarsi se hai eseguito l'override dei valori predefiniti dell'intestazione.

Quando viene inviata una richiesta per un controllo privato dell'uptime a un endpoint di destinazione, la richiesta include le seguenti intestazioni e valori:

Intestazione Valore
HTTP_USER_AGENT GoogleStackdriverMonitoring-UptimeChecks(https://cloud.google.com/monitoring)
HTTP_CONNECTION keep-alive
HTTP_HOST IP dell'endpoint di Service Directory
HTTP_ACCEPT_ENCODING gzip, deflate, br
CONTENT_LENGTH Calcolato in base ai dati dei post sull'uptime

Se provi a sovrascrivere questi valori, potrebbero verificarsi i seguenti problemi:

  • Il controllo di uptime segnala errori
  • I valori di override vengono eliminati e sostituiti con i valori della tabella

Nessun dato visibile

Non vengono visualizzati dati nella dashboard del controllo di uptime quando il controllo di uptime si trova in un progetto Google Cloud diverso dal servizio Service Directory.

Assicurati che il Google Cloud progetto che contiene il controllo di uptime monitori il Google Cloud progetto che contiene il servizio Service Directory.

Per ulteriori informazioni su come elencare i progetti monitorati e aggiungerne altri, consulta Configurare un ambito delle metriche per più progetti.

Passaggi successivi