Monitorizar conexiones de Private Service Connect

Private Service Connect expone métricas clave a Cloud Monitoring que te proporcionan información valiosa sobre tus conexiones de Private Service Connect.

Las métricas se envían automáticamente a Monitoring. Allí puedes crear paneles de control personalizados, configurar alertas y consultar las métricas.

Monitorizar servicios publicados

Puede monitorizar los servicios publicados mediante paneles de control predefinidos oGoogle Cloud métricas.

Ver los paneles de control de los servicios publicados

Private Service Connect proporciona un conjunto de paneles predefinidos que muestran las siguientes métricas de un servicio publicado:

  • Reglas de reenvío conectadas
  • Direcciones IP de NAT en uso
  • Conexiones abiertas
  • Nuevas conexiones
  • Conexiones cerradas
  • Tráfico de red
  • Paquetes de red
  • Paquetes enviados descartados
  • Paquetes recibidos descartados

Para ver los paneles de control predefinidos en la página de detalles de un servicio publicado de Private Service Connect concreto, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haz clic en un servicio.

  4. Haz clic en la pestaña Monitorización.

    Para cambiar la vista de los gráficos, usa el control situado en la parte superior de la página. Si colocas el cursor sobre un punto del gráfico, se muestran los detalles de ese momento concreto.

Métricas de los servicios publicados

Las cadenas "metric type" de esta tabla deben tener el prefijo compute.googleapis.com/. Ese prefijo se ha omitido en las entradas de la tabla.

Para ver una lista completa de las Google Cloud métricas, consulta las Google Cloud métricas.

Para obtener información sobre cómo usar estas métricas para solucionar problemas, consulta Solución de problemas de servicios publicados.

Tipo de métrica Fase de lanzamiento(Niveles de jerarquía de recursos)
Nombre visible
Tipo, unidad
Recursos monitorizados		 Descripción
Etiquetas
private_service_connect/producer/closed_connections_count GA(proyecto)
Número de conexiones cerradas
DELTAINT64{connection}
gce_service_attachment 		Número de conexiones TCP/UDP cerradas a través de un ID de recurso de vinculación de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/connected_consumer_forwarding_rules GA(proyecto)
Reglas de reenvío de consumidores conectadas
GAUGEINT641
gce_service_attachment 		Número de reglas de reenvío de consumidor conectadas a un ID de recurso de adjunto de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 165 segundos.
private_service_connect/producer/dropped_received_packets_count GA(project)
Número de paquetes recibidos descartados
DELTAINT64{packet}
gce_service_attachment 		Número de paquetes recibidos que ha descartado un ID de recurso de adjunto de servicio PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/dropped_sent_packets_count GA(proyecto)
Número de paquetes enviados eliminados
DELTAINT64{packet}
gce_service_attachment 		Número de paquetes enviados que se han descartado por un ID de recurso de adjunto de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/nat_ip_address_capacity GA(project)
Capacidad de direcciones IP de NAT
GAUGEINT641
gce_service_attachment 		Número total de direcciones IP de un ID de recurso de vinculación de servicio de PSC. (El valor -1 significa que el número es mayor que el valor máximo de INT64). Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 165 segundos.
private_service_connect/producer/new_connections_count GA(proyecto)
Número de conexiones nuevas
DELTAINT64{connection}
gce_service_attachment 		Número de conexiones TCP/UDP nuevas creadas a través de un ID de recurso de vinculación de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/open_connections GA(proyecto)
Conexiones abiertas
GAUGEINT64{connection}
gce_service_attachment 		Número de conexiones TCP/UDP abiertas en un ID de recurso de vinculación de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/received_bytes_count GA(project)
Número de bytes recibidos
DELTAINT64By
gce_service_attachment 		Número de bytes recibidos (PSC -> Servicio) a través de un ID de recurso de Service Attachment de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/received_packets_count GA(proyecto)
Número de paquetes recibidos
DELTAINT64{packet}
gce_service_attachment 		Número de paquetes recibidos (PSC -> Servicio) a través de un ID de recurso de adjunto de servicio de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/sent_bytes_count GA(project)
Número de bytes enviados
DELTAINT64By
gce_service_attachment 		Número de bytes enviados (servicio > PSC) a través de un ID de recurso de Service Attachment de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/sent_packets_count GA(project)
Número de paquetes enviados
DELTAINT64{packet}
gce_service_attachment 		Número de paquetes enviados (servicio -> PSC) a través de un ID de recurso de Service Attachment de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/used_nat_ip_addresses GA(project)
Used nat ip addresses
GAUGEINT641
gce_service_attachment 		Uso de IP del adjunto de servicio monitorizado. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 165 segundos.

Monitorizar endpoints y back-ends

Puede monitorizar los puntos finales que se conectan a los servicios publicados mediante los paneles de control o las métricas predefinidos. Google Cloud Puedes monitorizar los back-ends que se conectan a los servicios publicados mediante Google Cloud métricas.

Ver paneles de control de endpoints

Private Service Connect proporciona un conjunto de paneles predefinidos que muestran las siguientes métricas de los endpoints que se conectan a servicios publicados:

  • Conexiones abiertas
  • Nuevas conexiones
  • Conexiones cerradas
  • Tráfico de red
  • Paquetes de red
  • Paquetes enviados descartados
  • Paquetes recibidos descartados

Para ver los paneles de control predefinidos en la página de detalles de un punto final de Private Service Connect concreto, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Puntos finales conectados.

  3. Haz clic en un endpoint que se conecte a un servicio publicado.

  4. Haz clic en la pestaña Monitorización.

    Para cambiar la vista de los gráficos, usa el control situado en la parte superior de la página. Si colocas el cursor sobre un punto del gráfico, se muestran los detalles de ese momento concreto.

Métricas de los endpoints y los backends

Tanto los endpoints como los backends de Private Service Connect se monitorizan como recursos de endpoint de Private Service Connect.

Las métricas de esta tabla no se generan para los endpoints ni los backends que se conectan a las APIs de Google.

Las cadenas "metric type" de esta tabla deben tener el prefijo compute.googleapis.com/. Ese prefijo se ha omitido en las entradas de la tabla.

Para ver una lista completa de las Google Cloud métricas, consulta las Google Cloud métricas.

Para obtener información sobre cómo usar estas métricas para solucionar problemas de los endpoints, consulta Solución de problemas de endpoints.

Para obtener información sobre cómo usar estas métricas para solucionar problemas de back-ends, consulta Solución de problemas de back-ends.

Tipo de métrica Fase de lanzamiento(Niveles de jerarquía de recursos)
Nombre visible
Tipo, unidad
Recursos monitorizados		 Descripción
Etiquetas
private_service_connect/consumer/closed_connections_count GA(proyecto)
Número de conexiones cerradas
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de conexiones TCP/UDP cerradas a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/dropped_received_packets_count GA(project)
Número de paquetes recibidos descartados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de paquetes recibidos que se han descartado por un ID de conexión PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/dropped_sent_packets_count GA(proyecto)
Número de paquetes enviados eliminados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de paquetes enviados que ha descartado un ID de conexión PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/new_connections_count GA(proyecto)
Número de conexiones nuevas
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de conexiones TCP/UDP nuevas creadas a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/open_connections GA(proyecto)
Conexiones abiertas
GAUGEINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de conexiones TCP/UDP abiertas actualmente en un ID de conexión PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/received_bytes_count GA(project)
Número de bytes recibidos
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de bytes recibidos (PSC -> Clientes) a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/received_packets_count GA(proyecto)
Número de paquetes recibidos
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de paquetes recibidos (PSC -> Clientes) a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/sent_bytes_count GA(project)
Número de bytes enviados
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de bytes enviados (clientes -> PSC) a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/sent_packets_count GA(project)
Número de paquetes enviados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Número de paquetes enviados (clientes -> PSC) a través de un ID de conexión de PSC. Se muestrea cada 60 segundos. Después del muestreo, los datos no podrán verse durante un máximo de 345 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.

Definir políticas de alertas

Para crear una política de alertas basada en métricas, sigue estos pasos. Usa el tipo de recurso Service Attachment para las métricas de los servicios publicados. Usa el tipo de recurso Private Service Connect Endpoint para las métricas sobre endpoints o back-ends.

Consola

Puedes crear políticas de alertas para monitorizar los valores de las métricas y recibir notificaciones cuando esas métricas incumplan una condición.

  1. En la Google Cloud consola, ve a la página  Alertas:

    Ve a Alertas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Si no has creado tus canales de notificación y quieres recibir notificaciones, haz clic en Editar canales de notificación y añade tus canales de notificación. Vuelve a la página Alertas después de añadir tus canales.
  3. En la página Alertas, selecciona Crear política.
  4. Para seleccionar la métrica, despliega el menú Seleccionar una métrica y, a continuación, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, introduce the resource type en la barra de filtro. Si no hay resultados después de filtrar el menú, desactive el interruptor Mostrar solo recursos y métricas activos.
    2. En Tipo de recurso, seleccione el tipo de recurso.
    3. En Categoría de métrica, selecciona Private_service_connect.
    4. En Métrica, seleccione la métrica que quiera usar en esta política.
    5. Selecciona Aplicar.
  5. Haz clic en Siguiente.
  6. Los ajustes de la página Configurar activador de alerta determinan cuándo se activa la alerta. Seleccione un tipo de condición y, si es necesario, especifique un umbral. Para obtener más información, consulta el artículo Crear políticas de alertas de umbral de métricas.
  7. Haz clic en Siguiente.
  8. Opcional: Para añadir notificaciones a tu política de alertas, haz clic en Canales de notificación. En el cuadro de diálogo, selecciona uno o más canales de notificación y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la duración del cierre automático de incidentes. Este campo determina cuándo cierra Monitoring los incidentes si no hay datos de métricas.
  10. Opcional: Haz clic en Documentación y añade la información que quieras incluir en las notificaciones.
  11. Haz clic en Nombre de la alerta y escribe el que quieras asignar a la política de alertas.
  12. Haz clic enCreate Policy (Crear política).
Para obtener más información, consulta el resumen de alertas.

Ver registros

Puedes ver los registros de los puntos finales de Private Service Connect y los servicios publicados mediante Cloud Logging. Cloud Logging es un servicio totalmente gestionado que te permite almacenar, buscar, analizar, monitorizar y recibir alertas sobre eventos y datos de registros.

  • Los registros de auditoría te permiten monitorizar la actividad de Private Service Connect. Los registros de auditoría de actividad administrativa se escriben siempre.
  • VPC Flow Logs te permite monitorizar el tráfico de Private Service Connect. Debes habilitar los registros de flujo de VPC en cada subred, vinculación de VLAN de Cloud Interconnect o túnel de Cloud VPN que quieras monitorizar.

Puedes usar estos registros para correlacionar eventos entre el consumidor y el productor del servicio. Por ejemplo, si el estado de la conexión de una regla de reenvío de consumidor cambia de forma inesperada, puede solicitar al productor del servicio que verifique sus registros para comprobar si se ha eliminado o actualizado algún adjunto de servicio.

Consola

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir a Explorador de registros

  2. Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el interruptor Mostrar consulta.

  3. En el campo del editor de consultas, escribe una consulta. Por ejemplo, para ver el cambio de estado de la conexión de un endpoint, introduce la siguiente consulta y sustituye CONSUMER_PROJECT_ID por el ID del proyecto de consumidor:

    resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"

    Para ver más ejemplos de consultas que puede ejecutar para ver eventos de registro habituales, consulte Eventos de registro habituales de los endpoints.

  4. Haz clic en Realizar una consulta.

Para obtener más información sobre cómo consultar tus registros de auditoría, consulta el artículo Ver registros de auditoría.

Eventos de registro habituales de los servicios publicados

En la siguiente tabla se enumeran los eventos de registro habituales de los servicios publicados de Private Service Connect.

Descripción del evento Filtro avanzado de Logging
Eliminación de vinculación de servicio 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.delete"
Vinculación de servicio que permite la conciliación de conexiones 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.patch"
protoPayload.request.reconcileConnections="true"
La vinculación de servicio rechaza un URI de proyecto de consumidor 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID"
Cambio de estado de la conexión de endpoint debido a la política de conexión de adjuntos de servicio o a la política de organización 
resource.type="gce_service_attachment"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscProducerConnectionStatusChange"
Registros de flujo de VPC del tráfico de una subred de Private Service Connect a cualquier instancia de VM backend (incluidos los nodos de GKE) 
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~"VM_INSTANCE_PREFIX.*"

Haz los cambios siguientes:

  • PRODUCER_PROJECT_ID: el ID de proyecto del productor del servicio.
  • CONSUMER_PROJECT_ID: el ID de proyecto del consumidor del servicio.
  • PSC_SUBNET_REGEX: una expresión regular que coincide con un patrón de la subred de Private Service Connect. Por ejemplo, sustituye PSC_SUBNET_REGEX por 172\.16\.[0-1] si la subred de Private Service Connect es 172.16.0.0/23.
  • VM_INSTANCE_PREFIX: el prefijo de las instancias de VM de backend.

Eventos de registro comunes de los endpoints

En la siguiente tabla se enumeran los eventos de registro habituales de los endpoints de Private Service Connect.

Descripción del evento Filtro avanzado de Logging
Creación de endpoints de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
Error al crear un endpoint de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
severity>=ERROR
Cambio de estado de la conexión de endpoint de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
Conexión de endpoint de Private Service Connect rechazada 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
protoPayload.metadata.pscConnectionStatus="REJECTED"
Se ha superado la cuota PSC_INTERNAL_LB_FORWARDING_RULES 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"QUOTA_EXCEEDED"
severity=ERROR
Registros de flujo de VPC del tráfico de una instancia de VM a un punto final de Private Service Connect 
resource.type="gce_subnetwork"
logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_instance.vm_name="VM_INSTANCE_NAME"
Registros de flujo de VPC del tráfico de una pasarela a un endpoint de Private Service Connect 
resource.type="vpc_flow_logs_config"
logName="projects/CONSUMER_PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_gateway.name="GATEWAY_NAME"

Haz los cambios siguientes:

  • CONSUMER_PROJECT_ID: el ID de proyecto del consumidor del servicio.
  • PSC_ENDPOINT_IP_ADDRESS: la dirección IP del endpoint de Private Service Connect.
  • VM_INSTANCE_NAME: el nombre de una instancia de VM de origen en el proyecto del consumidor del servicio.
  • GATEWAY_NAME: el nombre de una vinculación de VLAN de origen o de un túnel de Cloud VPN en el proyecto del consumidor del servicio.

Problemas conocidos

No se generan métricas para el acceso global entre regiones

Hay un problema conocido por el que es posible que no se generen las métricas de Private Service Connect de esta página para los consumidores o productores en el siguiente caso:

  • Un recurso de consumidor existe en una región.
  • El recurso de consumidor accede a un punto final de Private Service Connect de otra región mediante el acceso global.
  • La región del endpoint no contiene ninguna instancia de máquina virtual (VM) de consumidor.

Solución

Para generar métricas en este caso, crea una instancia de VM en la misma región que el endpoint al que se accede.

Siguientes pasos