Supervisa las conexiones de Private Service Connect

Private Service Connect expone las métricas clave a Cloud Monitoring que te brindan estadísticas sobre tus conexiones de Private Service Connect.

Las métricas se envían automáticamente a Monitoring. Allí, podrás crear paneles personalizados, configurar alertas y consultar las métricas.

Supervisa los servicios publicados

Puedes supervisar los servicios publicados mediante paneles predefinidos o métricas de Google Cloud.

Visualiza paneles de servicios publicados

Private Service Connect proporciona un conjunto de paneles predefinidos que muestran las siguientes métricas para un servicio publicado:

  • Reglas de reenvío conectadas
  • Direcciones IP NAT en uso
  • Conexiones abiertas
  • Conexiones nuevas
  • Conexiones cerradas
  • Tráfico de red
  • Paquetes de red
  • Paquetes enviados descartados
  • Paquetes recibidos descartados

Para ver los paneles predefinidos desde la página de detalles de un servicio publicado de Private Service Connect en particular, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haz clic en un servicio existente.

  4. Haz clic en la pestaña Monitoring.

    Puedes cambiar la vista de los gráficos usando el control en la parte superior de la página. Si colocas el cursor sobre un punto del gráfico, se proporcionan detalles de esa hora específica.

Métricas para los servicios publicados

Las strings de “tipo de métrica” de esta tabla deben tener el prefijo compute.googleapis.com/. Este prefijo se omitió en las entradas de la tabla.

Para obtener una lista completa de las métricas de Google Cloud, consulta Métricas de Google Cloud.

Tipo de métrica Etapa de lanzamiento
Nombre visible
Clase, tipo, unidad
Recursos supervisados		 Descripción
Etiquetas
private_service_connect/producer/closed_connections_count BETA
Recuento de conexiones cerradas
DELTAINT64{connection}
gce_service_attachment 		Recuento de conexiones cerradas a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/connected_consumer_forwarding_rules GA
Reglas de reenvío del consumidor conectadas
GAUGEINT641
gce_service_attachment 		Cantidad de reglas de reenvío del consumidor conectadas a un ID del adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 165 segundos.
private_service_connect/producer/dropped_received_packets_count BETA
Recuento de paquetes recibidos descartados
DELTAINT64{packet}
gce_service_attachment 		Recuento de paquetes recibidos descartados por un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/dropped_sent_packets_count BETA
Recuento de paquetes enviados descartados
DELTAINT64{packet}
gce_service_attachment 		Recuento de paquetes enviados descartados por un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/new_connections_count BETA
Recuento de conexiones nuevas
DELTAINT64{connection}
gce_service_attachment 		Recuento de conexiones nuevas creadas a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/open_connections BETA
Conexiones abiertas
GAUGEINT64{connection}
gce_service_attachment 		Cantidad de conexiones abiertas actualmente en un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/received_bytes_count BETA
Recuento de bytes recibidos
DELTAINT64By
gce_service_attachment 		Recuento de bytes recibidos (PSC -> Service) a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/received_packets_count BETA
Recuento de paquetes recibidos
DELTAINT64{packet}
gce_service_attachment 		Recuento de paquetes recibidos (PSC -> servicio) a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/sent_bytes_count BETA
Recuento de bytes enviados
DELTAINT64By
gce_service_attachment 		Recuento de bytes enviados (Service -> PSC) a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/sent_packets_count BETA
Recuento de paquetes enviados
DELTAINT64{packet}
gce_service_attachment 		Recuento de paquetes enviados (Service -> PSC) a través de un ID de adjunto de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
psc_connection_id: El ID de conexión de Private Service Connect de la regla de reenvío de Private Service Connect.
private_service_connect/producer/used_nat_ip_addresses GA
Se usaron direcciones IP de NAT
GAUGEINT641
gce_service_attachment 		Uso de IP del adjunto del servicio supervisado. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 165 segundos.

Supervisa extremos y backends

Puedes supervisar los extremos que se conectan a los servicios publicados mediante paneles predefinidos o métricas de Google Cloud. Puedes supervisar los backends que se conectan a los servicios publicados mediante las métricas de Google Cloud.

Visualiza paneles para extremos

Private Service Connect proporciona un conjunto de paneles predefinidos que muestran las siguientes métricas para los extremos que se conectan a los servicios publicados:

  • Conexiones abiertas
  • Conexiones nuevas
  • Conexiones cerradas
  • Tráfico de red
  • Paquetes de red
  • Paquetes enviados descartados
  • Paquetes recibidos descartados

Para ver los paneles predefinidos desde la página de detalles de un extremo de Private Service Connect en particular, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Extremos conectados.

  3. Haz clic en un extremo que se conecta a un servicio publicado.

  4. Haz clic en la pestaña Monitoring.

    Puedes cambiar la vista de los gráficos usando el control en la parte superior de la página. Si colocas el cursor sobre un punto del gráfico, se proporcionan detalles de esa hora específica.

Métricas para extremos y backends

Los extremos y los backends de Private Service Connect se supervisan como recursos de extremo de Private Service Connect.

Las métricas de esta tabla no se generan para extremos ni backends que se conectan a las APIs de Google.

Las strings de “tipo de métrica” de esta tabla deben tener el prefijo compute.googleapis.com/. Este prefijo se omitió en las entradas de la tabla.

Para obtener una lista completa de las métricas de Google Cloud, consulta Métricas de Google Cloud.

Tipo de métrica Etapa de lanzamiento
Nombre visible
Clase, tipo, unidad
Recursos supervisados		 Descripción
Etiquetas
private_service_connect/consumer/closed_connections_count BETA
Recuento de conexiones cerradas
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de conexiones TCP/UDP cerradas a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/dropped_received_packets_count BETA
Recuento de paquetes recibidos descartados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de paquetes recibidos descartados por un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/dropped_sent_packets_count BETA
Recuento de paquetes enviados descartados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de paquetes enviados descartados por un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/new_connections_count BETA
Recuento de conexiones nuevas
DELTAINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de conexiones TCP/UDP nuevas creadas a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/open_connections BETA
Conexiones abiertas
GAUGEINT64{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Cantidad de conexiones TCP/UDP abiertas actualmente en un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/received_bytes_count BETA
Recuento de bytes recibidos
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de bytes recibidos (PSC -> Clientes) a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/received_packets_count BETA
Recuento de paquetes recibidos
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de paquetes recibidos (PSC -> Clientes) a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/sent_bytes_count BETA
Recuento de bytes enviados
DELTAINT64By
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de bytes enviados (Clientes -> PSC) a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.
private_service_connect/consumer/sent_packets_count BETA
Recuento de paquetes enviados
DELTAINT64{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint 		Recuento de paquetes enviados (Clientes -> PSC) a través de un ID de conexión de PSC. Se tomaron muestras cada 60 segundos. Luego del muestreo, los datos no son visibles durante un máximo de 315 segundos.
ip_protocol: El protocolo de la conexión. Puede ser TCP o UDP.

Define las políticas de alertas

Para crear una política de alertas basada en métricas, sigue estos pasos. Usa un tipo de recurso Service Attachment para las métricas sobre los servicios publicados. Usa un tipo de recurso Private Service Connect Endpoint para las métricas sobre los extremos o los backends.

Console

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

  1. En la consola de Google Cloud, ve a la página  Alertas.

    Ir a las Alertas

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
  3. En la página Alertas, elige Crear política.
  4. Para elegir la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, ingresa the resource type en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
    2. En Tipo de recurso, selecciona el tipo de recurso.
    3. En Categoría de métrica, selecciona Private_service_connect.
    4. En Métrica, selecciona la métrica que se usará para esta política.
    5. Selecciona Apply (Apply).
  5. Haz clic en Siguiente.
  6. La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Selecciona un tipo de condición y, si es necesario, especifica un umbral. Para obtener más información, consulta Crea políticas de alertas de límite de métrica.
  7. Haz clic en Siguiente.
  8. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, elige uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
  10. Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
  11. Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
  12. Haz clic en Crear política.
Para obtener más información, consulta Políticas de alertas.

Ver registros

Puedes ver los registros de los extremos de Private Service Connect y los servicios publicados mediante Cloud Logging. Cloud Logging es un servicio completamente administrado que te permite almacenar, buscar, analizar, supervisar y generar alertas sobre eventos y datos de registro.

  • Los registros de auditoría te permiten supervisar la actividad de Private Service Connect. Los registros de auditoría de la actividad del administrador están siempre habilitados.
  • Los registros de flujo de VPC te permiten supervisar el tráfico de Private Service Connect. Debes habilitar los registros de flujo de VPC para cada subred que quieras supervisar.

Puedes usar estos registros para correlacionar eventos entre el consumidor del servicio y el productor del servicio. Por ejemplo, si el estado de conexión de una regla de reenvío del consumidor cambia de forma inesperada, puedes solicitar que el productor de servicios verifique sus registros para cualquier evento de actualización o eliminación de adjuntos de servicio.

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

  2. Si no ves el campo del editor de consultas en el panel Consulta, haz clic en el botón de activar o desactivar Mostrar consulta.

  3. En el campo del editor de consultas, ingresa una consulta. Por ejemplo, para ver el cambio del estado de conexión de un extremo, ingresa la siguiente consulta y reemplaza CONSUMER_PROJECT_ID por el ID del proyecto del consumidor:

    resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"

    Si deseas obtener más ejemplos de consultas que puedes ejecutar para ver los eventos de registro comunes, consulta Eventos de registro comunes para extremos.

  4. Haz clic en Ejecutar consulta.

Si deseas obtener más información para consultar tus registros de auditoría, revisa Visualiza los registros de auditoría.

Eventos de registro comunes para servicios publicados

En la siguiente tabla, se enumeran los eventos de registro comunes para los servicios publicados de Private Service Connect.

Descripción del evento Filtro avanzado de Logging
Eliminación de adjuntos de servicio 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.delete"
Adjunto de servicio que habilita la conciliación de conexiones 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
resource.labels.method="compute.serviceAttachments.patch"
protoPayload.request.reconcileConnections="true"
El adjunto de servicio rechaza un URI de proyecto de consumidor 
resource.type="audited_resource"
log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID"
Registros de flujo de VPC para el tráfico desde una subred de Private Service Connect a cualquier instancia de VM de backend (incluidos los nodos de GKE) 
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~"VM_INSTANCE_PREFIX.*"

Reemplaza lo siguiente:

  • PRODUCER_PROJECT_ID: el ID del proyecto del productor del servicio.
  • CONSUMER_PROJECT_ID: el ID del proyecto del consumidor del servicio.
  • PSC_SUBNET_REGEX: una expresión regular que coincide con un patrón en la subred de Private Service Connect. Por ejemplo, reemplaza PSC_SUBNET_REGEX por 172\.16\.[0-1] si la subred de Private Service Connect es 172.16.0.0/23.
  • VM_INSTANCE_PREFIX: el prefijo de las instancias de VM de backend.

Eventos de registro comunes para extremos

En la siguiente tabla, se enumeran los eventos de registro comunes para los extremos de Private Service Connect.

Descripción del evento Filtro avanzado de Logging
Creación de extremos de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
Falla en la creación del extremo de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"compute.forwardingRules.pscCreate"
severity>=ERROR
Cambio del estado de la conexión del extremo de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
Se rechazó la conexión del extremo de Private Service Connect 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="LogPscConnectionStatusUpdate"
protoPayload.metadata.pscConnectionStatus="REJECTED"
Se superó la cuota PSC_INTERNAL_LB_FORWARDING_RULES 
resource.type="gce_forwarding_rule"
log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="v1.compute.forwardingRules.insert"
"QUOTA_EXCEEDED"
severity=ERROR
Registros de flujo de VPC para el tráfico de una instancia de VM a un extremo de Private Service Connect 
resource.type="gce_subnetwork"
logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
jsonPayload.connection.dest_ip="PSC_ENDPOINT_IP_ADDRESS"
jsonPayload.src_instance.vm_name="VM_INSTANCE_NAME"

Reemplaza lo siguiente:

  • CONSUMER_PROJECT_ID: el ID del proyecto del consumidor del servicio.
  • PSC_ENDPOINT_IP_ADDRESS: la dirección IP del extremo de Private Service Connect.
  • VM_INSTANCE_NAME: el nombre de una instancia de VM de origen.

Problemas conocidos

Métricas no generadas para el acceso global entre regiones

Hay un problema conocido por el que es posible que las métricas de Private Service Connect de esta página no se generen para los consumidores o productores en la siguiente situación:

  • Un recurso de consumidor existe en una región.
  • El recurso del consumidor accede a un extremo de Private Service Connect en una región diferente mediante el acceso global.
  • La región del extremo no contiene ninguna instancia de máquina virtual (VM) de consumidor.

Solución alternativa

Para generar métricas en esta situación, crea una instancia de VM en la misma región que el extremo al que se accede.

¿Qué sigue?