Questa pagina descrive come trovare gli errori di Controlli di servizio VPC utilizzando Cloud Logging.
I Controlli di servizio VPC contribuiscono a mitigare i rischi di esfiltrazione di dati isolando i servizi multi-tenant. Google Cloud Per maggiori informazioni, consulta la panoramica dei Controlli di servizio VPC.
Determinare se un errore è dovuto ai Controlli di servizio VPC
I Controlli di servizio VPC possono modificare le proprietà di Google Cloud e avere effetti a cascata sui servizi. Ciò può rendere difficile il debug dei problemi, soprattutto se non sai cosa cercare.
La propagazione e l'applicazione delle modifiche al perimetro di servizio possono richiedere fino a 30 minuti. Una volta propagate le modifiche, l'accesso ai servizi limitati nel perimetro non può superare il confine del perimetro, a meno che non sia esplicitamente autorizzato.
Per determinare se un errore è correlato a Controlli di servizio VPC, verifica se hai abilitato Controlli di servizio VPC e se li hai applicati ai progetti e ai servizi che stai tentando di utilizzare. Per verificare se i progetti e i servizi sono protetti dai Controlli di servizio VPC, controlla le norme dei Controlli di servizio VPC a quel livello della gerarchia delle risorse.
Considera uno scenario di esempio in cui utilizzi indirettamente un servizio contrassegnato come servizio con limitazioni dai Controlli di servizio VPC in un progetto all'interno di un perimetro di servizio. In questo caso, i Controlli di servizio VPC potrebbero negare l'accesso.
In genere, i servizi propagano i messaggi di errore dalle loro dipendenze. Se riscontri uno dei seguenti errori, significa che si è verificato un problema con Controlli di servizio VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Altri servizi:
403: Request is prohibited by organization's policy.
Utilizza l'ID univoco dell'errore
A differenza della console Google Cloud , lo strumento a riga di comando gcloud restituisce un ID univoco per
gli errori di Controlli di servizio VPC. Per individuare le voci di log per altri errori, filtra i log utilizzando i metadati.
Un errore generato da Controlli di servizio VPC include un ID univoco utilizzato per identificare i log di controllo pertinenti.
Per ottenere informazioni su un errore utilizzando l'ID univoco:
Nella console Google Cloud , vai alla pagina Cloud Logging del progetto all'interno del perimetro di servizio che ha attivato l'errore.
Nel campo di ricerca e filtro, inserisci l'ID univoco dell'errore.
Puoi visualizzare la voce di log pertinente.
Filtrare i log utilizzando i metadati
Puoi utilizzare Esplora log per trovare errori relativi a Controlli di servizio VPC. Puoi utilizzare il linguaggio di query di Logging per recuperare i log. Per informazioni sulla creazione di query, vedi Creazione di query utilizzando il linguaggio di query di Logging.
Console
Per ottenere le ultime 24 ore di errori di Controlli di servizio VPC in Logging, procedi nel seguente modo:
Nella console Google Cloud , vai alla pagina Cloud Logging.
Assicurati di essere nel progetto all'interno del perimetro di servizio.
Nel campo di ricerca e filtro, inserisci quanto segue:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"Nel menu Risorsa, seleziona Risorsa sottoposta ad audit.
Nel menu del selettore dell'intervallo di tempo, seleziona Ultime 24 ore.
(Facoltativo) Per trovare gli errori di Controlli di servizio VPC che si sono verificati in un periodo diverso, utilizza il menu selettore intervallo di tempo.
gcloud
Per ottenere gli errori di Controlli di servizio VPC delle ultime 24 ore, esegui il comando seguente:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'Per impostazione predefinita, il comando
readè limitato alle ultime 24 ore. Per ottenere i log dei Controlli di servizio VPC per un periodo diverso, utilizza uno dei seguenti comandi:Per recuperare i log generati in un determinato periodo a partire dalla data corrente, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION è un periodo di tempo formattato. Per ulteriori informazioni sulla formattazione, consulta Formati di durata e ora relativi per gcloud CLI.
Per recuperare tutti gli errori di Controlli di servizio VPC che si sono verificati nell'ultima settimana, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPer recuperare i log generati tra date specifiche, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME e END_DATETIME sono stringhe di data e ora formattate. Per ulteriori informazioni sulla formattazione, consulta Formati di data e ora assoluti per gcloud CLI.
Ad esempio, per ottenere tutti gli errori di Controlli di servizio VPC che si sono verificati tra il 22 marzo 2019 e il 26 marzo 2019:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Passaggi successivi
- Diagnosticare un rifiuto di accesso utilizzando l'ID univoco nello strumento di analisi delle violazioni
- Diagnosticare un rifiuto di accesso utilizzando il token di risoluzione dei problemi nello strumento di analisi delle violazioni (anteprima)
- Risolvere i problemi comuni di Controlli di servizio VPC
- Risolvere i problemi comuni relativi ad altri Google Cloud servizi