監控 Private Service Connect 連線
本頁說明如何監控 Private Service Connect 連線的生產者和消費者端。
Private Service Connect 會將重要指標公開至 Cloud Monitoring,讓您深入瞭解 Private Service Connect 連線。
指標會自動傳送至 Monitoring。您可以在這裡建立自訂資訊主頁、設定快訊及查詢指標。
監控已發布的服務
您可以使用預先定義的資訊主頁或Google Cloud 指標,監控已發布的服務。
查看已發布服務的資訊主頁
Private Service Connect 提供一組預先定義的資訊主頁,可顯示已發布服務的下列指標:
- 已連結的轉送規則數量
- 使用中的網路位址轉譯 (NAT) IP 位址數量
- 公開連線數量
- 新的連線數
- 關閉的連線數
- 網路流量
- 網路封包數
- 已傳送但遭捨棄的封包
- 已收到但遭捨棄的封包
如要從特定 Private Service Connect 已發布服務的詳細資料頁面查看預先定義的資訊主頁,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的「Private Service Connect」頁面。
按一下「已發布的服務」分頁標籤。
按一下現有服務。
按一下「Monitoring」(監控) 分頁標籤。
如要變更圖表檢視畫面,請使用頁面頂端的控制項。將游標懸停於圖表中的某個點,即可查看該特定時間的詳細資料。
已發布服務的指標
這個表格中的「指標類型」字串必須加上 compute.googleapis.com/ 前置字元。該前置字串已從表格中的項目省略。
如需完整的 Google Cloud 指標清單,請參閱Google Cloud 指標。
如要瞭解如何使用這些指標排解問題,請參閱已發布服務的疑難排解。
| 指標類型 推出階段 (資源階層層級) 顯示名稱 |
|
|---|---|
| 種類、類型、單位 受監控資源 |
說明 標籤 |
private_service_connect/producer/closed_connections_count
GA
(專案)
已關閉的連線數 |
|
DELTA、INT64、{connection}
gce_service_attachment |
透過 PSC 服務連結資源 ID 關閉的 TCP/UDP 連線數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/connected_consumer_forwarding_rules
GA
(專案)
已連結的消費者轉送規則 |
|
GAUGE、INT64、1
gce_service_attachment |
連線至 PSC 服務附件資源 ID 的消費者轉送規則數量。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 165 秒的時間無法查看資料。 |
private_service_connect/producer/dropped_received_packets_count
GA
(專案)
已接收但遭捨棄的封包數 |
|
DELTA、INT64、{packet}
gce_service_attachment |
遭 PSC 服務連結資源 ID 捨棄的接收封包數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/dropped_sent_packets_count
GA
(專案)
已傳送但遭捨棄的封包數 |
|
DELTA、INT64、{packet}
gce_service_attachment |
遭 PSC 服務連結資源 ID 捨棄的傳送封包數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/nat_ip_address_capacity
GA
(project)
Nat ip address capacity |
|
GAUGE、INT64、1
gce_service_attachment |
PSC 服務連結資源 ID 的 IP 位址總數。(值為 -1 表示該數字大於 INT64 的最大值)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 165 秒的時間無法查看資料。 |
private_service_connect/producer/new_connections_count
GA
(專案)
新連結數 |
|
DELTA、INT64、{connection}
gce_service_attachment |
透過 PSC 服務連結資源 ID 建立的新 TCP/UDP 連線數量。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/open_connections
GA
(專案)
開啟連線 |
|
GAUGE、INT64、{connection}
gce_service_attachment |
目前在 PSC 服務附件資源 ID 上開啟的 TCP/UDP 連線數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/received_bytes_count
GA
(project)
接收的位元組數 |
|
DELTA、INT64、By
gce_service_attachment |
透過 PSC 服務連結資源 ID 接收的位元組數 (PSC -> 服務)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/received_packets_count
GA
(專案)
接收的封包數 |
|
DELTA、INT64、{packet}
gce_service_attachment |
透過 PSC 服務連結資源 ID 接收的封包數 (PSC -> 服務)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/sent_bytes_count
GA
(project)
傳送的位元組數 |
|
DELTA、INT64、By
gce_service_attachment |
透過 PSC 服務連結資源 ID 傳送的位元組數 (服務 -> PSC)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/sent_packets_count
GA
(專案)
傳送的封包數 |
|
DELTA、INT64、{packet}
gce_service_attachment |
透過 PSC 服務連結資源 ID 傳送的封包數 (服務 -> PSC)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
psc_connection_id:
Private Service Connect 轉送規則的 Private Service Connect 連線 ID。
|
private_service_connect/producer/used_nat_ip_addresses
GA
(project)
Used nat ip addresses |
|
GAUGE、INT64、1
gce_service_attachment |
受監控服務連結的 IP 使用情況。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 165 秒的時間無法查看資料。 |
監控端點和後端
本節說明如何監控 Private Service Connect 端點和後端。可用選項取決於消費者類型 (端點或後端),以及您是否連線至已發布的服務或 Google API。
查看連線至已發布服務的端點資訊主頁
Private Service Connect 提供一組預先定義的資訊主頁,可顯示連線至已發布服務的端點的下列指標:
- 公開連線數量
- 新的連線數
- 關閉的連線數
- 網路流量
- 網路封包數
- 已傳送但遭捨棄的封包
- 已收到但遭捨棄的封包
如要從特定 Private Service Connect 端點的詳細資料頁面查看預先定義的資訊主頁,請按照下列步驟操作:
控制台
前往 Google Cloud 控制台的「Private Service Connect」頁面。
按一下「已連線的端點」分頁標籤。
按一下連線至已發布服務的端點。
按一下「Monitoring」(監控) 分頁標籤。
如要變更圖表檢視畫面,請使用頁面頂端的控制項。將游標懸停於圖表中的某個點,即可查看該特定時間的詳細資料。
連線至已發布服務的端點和後端指標
系統會將 Private Service Connect 端點和後端都視為 Private Service Connect 端點資源進行監控。
如果端點或後端連線至 Google API,系統就不會產生這份表格中的指標。
這個表格中的「指標類型」字串必須加上 compute.googleapis.com/ 前置字元。該前置字串已從表格中的項目省略。
如需完整的 Google Cloud 指標清單,請參閱Google Cloud 指標。
如要瞭解如何使用這些指標排解端點問題,請參閱端點疑難排解。
如要瞭解如何使用這些指標排解後端問題,請參閱後端疑難排解。
| 指標類型 推出階段 (資源階層層級) 顯示名稱 |
|
|---|---|
| 種類、類型、單位 受監控資源 |
說明 標籤 |
private_service_connect/consumer/closed_connections_count
GA
(專案)
已關閉的連線數 |
|
DELTA、INT64、{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 PSC 連線 ID 關閉的 TCP/UDP 連線數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/dropped_received_packets_count
GA
(專案)
已接收但遭捨棄的封包數 |
|
DELTA、INT64、{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
PSC 連線 ID 捨棄的接收封包數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/dropped_sent_packets_count
GA
(專案)
已傳送但遭捨棄的封包數 |
|
DELTA、INT64、{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
遭 PSC 連線 ID 捨棄的傳送封包數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/new_connections_count
GA
(專案)
新連結數 |
|
DELTA、INT64、{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 PSC 連線 ID 建立的 TCP/UDP 新連線數量。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/open_connections
GA
(專案)
開啟連線 |
|
GAUGE、INT64、{connection}
compute.googleapis.com/PrivateServiceConnectEndpoint |
目前在 PSC 連線 ID 上開啟的 TCP/UDP 連線數。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/received_bytes_count
GA
(project)
接收的位元組數 |
|
DELTA、INT64、By
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 PSC 連線 ID 接收的位元組數 (PSC -> 用戶端)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/received_packets_count
GA
(專案)
接收的封包數 |
|
DELTA、INT64、{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 Private Service Connect 連線 ID 接收的封包數 (Private Service Connect -> 用戶端)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/sent_bytes_count
GA
(project)
傳送的位元組數 |
|
DELTA、INT64、By
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 PSC 連線 ID 傳送的位元組數 (用戶端 -> PSC)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
private_service_connect/consumer/sent_packets_count
GA
(專案)
傳送的封包數 |
|
DELTA、INT64、{packet}
compute.googleapis.com/PrivateServiceConnectEndpoint |
透過 Private Service Connect 連線 ID 傳送的封包數 (用戶端 -> Private Service Connect)。取樣頻率為每 60 秒一次。取樣完畢後,會有多達 345 秒的時間無法查看資料。
ip_protocol:
連線的通訊協定。可以是 TCP 或 UDP。
|
監控與 Google API 的連線
連線至 Google API 的端點或後端,無法使用 Private Service Connect 指標。您也可以使用下列任一方法,監控與 Google API 的連線。
使用負載平衡器監控 Private Service Connect 後端
如果您使用 Private Service Connect 後端連線至 Google API,可以透過負載平衡器的指標和記錄檔監控 API 流量。詳情請參閱「外部應用程式負載平衡器的記錄與監控功能」。
搭配 Private Service Connect 端點使用虛擬私有雲流程記錄檔
如果您使用 Private Service Connect 端點連線至 Google API,可以設定 VPC 流量記錄來監控 API 流量。您可以使用 Flow Analyzer 分析虛擬私有雲流量記錄中的資訊。
定義快訊政策
如要建立以指標為基礎的快訊政策,請按照下列步驟操作。如要取得已發布服務的指標,請使用 Service Attachment 資源類型。如要取得端點或後端的指標,請使用 Private Service Connect
Endpoint 資源類型。
控制台
您可以建立警告政策來監控指標值,並在指標違反條件時收到通知。
-
前往 Google Cloud 控制台的 notifications「Alerting」(警告) 頁面:
如果是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果。
- 如果尚未建立通知管道,但想收到通知,請按一下「Edit Notification Channels」(編輯通知管道),新增通知管道。新增管道後,請返回「Alerting」(警告) 頁面。
- 在「Alerting」(警告) 頁面,選取「Create policy」(建立政策)。
- 如要選取指標,請展開「Select a metric」(選取指標) 選單,執行下列步驟:
- 如要限制選單只顯示相關項目,請在篩選列輸入
the resource type。如果選單篩選後沒有任何結果,請停用「Show only active resources & metrics」(僅顯示使用中的資源和指標) 切換鈕。 - 在「資源類型」部分,選取資源類型。
- 在「指標類別」部分,選取「Private_service_connect」。
- 在「Metric」(指標) 中,選取要用於這項政策的指標。
- 選取 [Apply] (套用)。
- 如要限制選單只顯示相關項目,請在篩選列輸入
- 點選「下一步」。
- 「Configure alert trigger」(設定警告觸發條件) 頁面中的設定會決定警告觸發時機。選取條件類型,視需要指定門檻。詳情請參閱「建立指標門檻警告政策」。
- 點選「Next」(下一步)。
- 選用:如要新增警告政策的通知,請按一下「Notification channels」(通知管道)。在對話方塊中,從選單選取一或多個通知管道,然後按一下「OK」(確定)。
- 選用:更新「Incident autoclose duration」(事件自動關閉期限)。這個欄位會決定 Monitoring 在沒有指標資料下關閉事件的時機。
- 選用:按一下「Documentation」(說明文件),新增要納入通知訊息的資訊。
- 按一下「Alert name」(警告名稱),輸入警告政策的名稱。
- 點選「建立政策」。
查看記錄
您可以使用 Cloud Logging 查看 Private Service Connect 端點和已發布服務的記錄。Cloud Logging 是全代管服務,可讓您儲存、搜尋、分析及監控記錄檔資料和事件,並接收相關快訊。
- 稽核記錄可讓您監控 Private Service Connect 活動。系統一律會寫入管理員活動稽核記錄。
- 虛擬私有雲流量記錄可讓您監控 Private Service Connect 流量。您必須為要監控的每個子網路、Cloud Interconnect 的 VLAN 連結或 Cloud VPN 通道啟用虛擬私有雲流量記錄。
您可以使用這些記錄,找出服務消費者和服務生產者之間的事件關聯性。舉例來說,如果消費者轉送規則的連線狀態發生非預期的變化,您可以要求服務生產者驗證記錄,確認是否有任何服務附件刪除或更新事件。
控制台
前往 Google Cloud 控制台的「Logs Explorer」頁面。
如果「查詢」窗格中未顯示查詢編輯器欄位,請按一下「顯示查詢」切換按鈕。
在查詢編輯器欄位中輸入查詢。舉例來說,如要查看端點的連線狀態變更,請輸入下列查詢,並將
CONSUMER_PROJECT_ID替換為消費者專案 ID:resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate"
如要查看常見的記錄事件,請參閱「端點的常見記錄事件」,瞭解更多查詢範例。
點選「執行查詢」
如要進一步瞭解如何查詢稽核記錄,請參閱「查看稽核記錄」。
已發布服務的常見記錄事件
下表列出 Private Service Connect 發布服務的常見記錄事件。
| 活動說明 | 記錄進階篩選器 |
|---|---|
| 刪除服務連結 | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.delete" |
| 啟用連線協調功能的服務連結 | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" resource.labels.method="compute.serviceAttachments.patch" protoPayload.request.reconcileConnections="true" |
| 服務連結拒絕用戶專案 URI | resource.type="audited_resource" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.request.consumerRejectLists="CONSUMER_PROJECT_ID" |
| 端點連線狀態因服務連結連線政策或機構政策而變更 | resource.type="gce_service_attachment" log_name="projects/PRODUCER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscProducerConnectionStatusChange" |
| 從 Private Service Connect 子網路到任何後端 VM 執行個體 (包括 GKE 節點) 的流量虛擬私有雲端流程記錄 |
resource.type="gce_subnetwork"
logName="projects/PRODUCER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
json_payload.connection.src_ip=~"PSC_SUBNET_REGEX.*"
jsonPayload.dest_instance.vm_name=~" |
更改下列內容:
PRODUCER_PROJECT_ID:服務生產者的專案 ID。CONSUMER_PROJECT_ID:服務消費者的專案 ID。PSC_SUBNET_REGEX:規則運算式,可比對 Private Service Connect 子網路中的模式。舉例來說,如果 Private Service Connect 子網路是172.16.0.0/23,請將PSC_SUBNET_REGEX替換為172\.16\.[0-1]。VM_INSTANCE_PREFIX:後端 VM 執行個體的前置字串。
端點的常見記錄事件
下表列出 Private Service Connect 端點的常見記錄事件。
| 活動說明 | 記錄進階篩選器 |
|---|---|
| 建立 Private Service Connect 端點 | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate" |
| 無法建立 Private Service Connect 端點 | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "compute.forwardingRules.pscCreate" severity>=ERROR |
| Private Service Connect 端點連線狀態變更 | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate" |
| 已拒絕 Private Service Connect 端點連線 | resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event" protoPayload.methodName="LogPscConnectionStatusUpdate" protoPayload.metadata.pscConnectionStatus="REJECTED" |
超過配額 PSC_INTERNAL_LB_FORWARDING_RULES |
resource.type="gce_forwarding_rule" log_name="projects/CONSUMER_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity" protoPayload.methodName="v1.compute.forwardingRules.insert" "QUOTA_EXCEEDED" severity=ERROR |
| 從 VM 執行個體到 Private Service Connect 端點的流量虛擬私有雲流程記錄 | resource.type="gce_subnetwork" logName="projects/CONSUMER_PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_ip=" |
| 從閘道到 Private Service Connect 端點的流量虛擬私有雲端流程記錄 | resource.type="vpc_flow_logs_config" logName="projects/CONSUMER_PROJECT_ID/logs/networkmanagement.googleapis.com%2Fvpc_flows" jsonPayload.connection.dest_ip=" |
更改下列內容:
CONSUMER_PROJECT_ID:服務消費者的專案 ID。PSC_ENDPOINT_IP_ADDRESS:Private Service Connect 端點的 IP 位址。VM_INSTANCE_NAME:服務消費者專案中的來源 VM 執行個體名稱。GATEWAY_NAME:服務消費者專案中來源 VLAN 連結或 Cloud VPN 通道的名稱。
已知問題
不會為跨區域全域存取權產生指標
已知問題:在下列情況下,系統可能不會為消費者或生產者產生這個頁面的 Private Service Connect 指標:
- 消費者資源位於某個區域。
- 消費者資源使用全域存取權,存取不同區域的 Private Service Connect 端點。
- 端點的區域不含任何消費者虛擬機器 (VM) 執行個體。
解決方法
如要在這個情境中產生指標,請在與要存取的端點相同的區域中建立 VM 執行個體。