En esta página, se describe cómo puedes encontrar errores de los Controles del servicio de VPC con Cloud Logging.
Los Controles del servicio de VPC ayudan a mitigar los riesgos de robo de datos aislando los servicios Google Cloud de múltiples inquilinos. Para obtener más información, consulta la Descripción general de los Controles del servicio de VPC.
Determina si hay un error debido a los Controles del servicio de VPC
Los Controles del servicio de VPC pueden modificar las propiedades de Google Cloud y tener efectos en cascada en todos los servicios. Esto puede dificultar la depuración de problemas, en especial si no sabes qué buscar.
Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, no se permitirá que el acceso a los servicios restringidos en el perímetro cruce el límite del perímetro, a menos que se autorice de forma explícita.
Para determinar si un error está relacionado con los Controles del servicio de VPC, verifica si habilitaste los Controles del servicio de VPC y si los aplicaste a los proyectos y servicios que intentas usar. Para verificar si los proyectos y servicios están protegidos por los Controles del servicio de VPC, consulta la política de los Controles del servicio de VPC en ese nivel de la jerarquía de recursos.
Considera un ejemplo en el que usas de forma indirecta un servicio que los Controles del servicio de VPC marcan como servicio restringido en un proyecto que se encuentra dentro de un perímetro de servicio. En tal caso, es posible que los Controles del servicio de VPC estén denegando el acceso.
Por lo general, los servicios propagarán mensajes de error de sus dependencias. Si encuentras uno de los siguientes errores, es un problema de los Controles del servicio de VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Otros servicios:
403: Request is prohibited by organization's policy.
Usa el ID único del error
A diferencia de la consola de Google Cloud , la herramienta de línea de comandos de gcloud devuelve un ID único para los errores de los Controles del servicio de VPC. Para buscar las entradas de registro de otros errores, filtra los registros con metadatos.
Los errores que generan los Controles del servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría relevantes.
Para obtener información sobre un error con el ID único, haz lo siguiente:
En la consola de Google Cloud , ve a la página Cloud Logging del proyecto que se encuentra dentro del perímetro de servicio que activó el error.
En el campo de filtros de búsqueda, ingresa el ID único del error.
Puedes ver la entrada de registro pertinente.
Filtra registros mediante metadatos
Puedes usar el Explorador de registros para encontrar errores relacionados con los Controles del servicio de VPC. Puedes usar el lenguaje de consulta de Logging para recuperar los registros. Para obtener información sobre cómo compilar consultas, consulta Compila consultas con el lenguaje de consulta de Logging.
Console
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC en Logging, haz lo siguiente:
En la consola de Google Cloud , ve a la página Cloud Logging.
Asegúrate de estar en el proyecto que se encuentra dentro del perímetro de servicio.
En el campo de filtros de búsqueda, ingresa lo siguiente:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"En el menú Recurso, selecciona Recurso auditado.
En el menú del selector de rango de tiempo, selecciona Últimas 24 horas.
Opcional: Si deseas buscar los errores de los Controles del servicio de VPC que se produjeron durante un período diferente, usa el menú Selector de intervalo de tiempo.
gcloud
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC, ejecuta el siguiente comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'De forma predeterminada, el comando
readestá limitado a las últimas 24 horas. Para obtener los registros de los Controles del servicio de VPC durante un período diferente, usa uno de los siguientes comandos:Para recuperar los registros que se generaron en un período determinado a partir de la fecha actual, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION es un período con formato. Para obtener más información sobre el formato, consulta los formatos de duración y hora relativos para gcloud CLI.
Para recuperar todos los errores de los Controles del servicio de VPC que se produjeron en la última semana, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPara recuperar los registros que se generaron entre fechas específicas, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME y END_DATETIME son cadenas de fecha y hora con formato. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos para gcloud CLI.
Por ejemplo, para obtener todos los errores de los Controles del servicio de VPC que se produjeron entre el 22 y el 26 de marzo de 2019, ejecuta lo siguiente:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
¿Qué sigue?
- Diagnostica un rechazo de acceso con el ID único en el Analizador de incumplimientos
- Diagnostica una denegación de acceso con el token de solución de problemas en el analizador de incumplimientos (Versión preliminar)
- Soluciona problemas habituales de los Controles del servicio de VPC
- Soluciona problemas comunes relacionados con otros Google Cloud servicios