本页面介绍如何使用 VPC Service Controls 违规分析器来了解和诊断 VPC Service Controls 记录的问题。
VPC Service Controls 日志包含有关对受保护资源的请求的详细信息,以及 VPC Service Controls 拒绝该请求的原因。但是,这些详细信息有时并不明显,您可能需要花大量时间去理解日志。您可以使用 VPC Service Controls 违规分析器诊断来自服务边界的拒绝。如需了解违规原因,请参阅调试被 VPC Service Controls 阻止的请求。
您还可以使用违规分析器诊断来自使用试运行配置的服务边界的拒绝。
您还可以诊断访问被拒问题,并在违规分析器中查看其全面的评估报告。
准备工作
如需排查 VPC Service Controls 违规问题,请确保您在组织级层具有 VPC Service Controls Troubleshooter Viewer 角色 (roles/accesscontextmanager.vpcScTroubleshooterViewer)。此角色不允许您修改边界或访问权限级别。
排查访问被拒事件
当 VPC Service Controls 拒绝访问请求时,它会生成一个唯一 ID,并在 Cloud Audit Logs 中记录一个加密的问题排查令牌。Google Cloud CLI 针对 VPC Service Controls 拒绝事件返回的错误包含相应事件的唯一 ID。
在开始之前,请为您要排查的被拒问题获取唯一 ID。
访问违规分析器
违规分析器仅在 Google Cloud 控制台中提供。您可以使用 Logs Explorer 或 VPC Service Controls 页面访问违规分析器。
使用日志浏览器
使用Logs Explorer,您可以直接从 VPC Service Controls 被拒问题的日志条目转到违规分析器。
如需从日志条目访问违规分析器,请执行以下操作:
- 在 Google Cloud 控制台中,前往 Logs Explorer 页面。
- 在 Logs Explorer 页面上,使用拒绝事件的唯一 ID 来访问日志条目。
- 在查询结果框中,在要排查的被拒问题所在的行中,点击 VPC Service Controls,然后点击排查被拒问题。
- 在问题排查结果页面上,点击切换到传统视图。
使用 VPC Service Controls 页面
如需从 VPC Service Controls 页面访问违规分析器,请执行以下操作:
-
在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls。
如果出现提示,请选择您的组织。您只能在组织级层访问 VPC Service Controls 页面。
在 VPC Service Controls 页面上,点击违规分析器。
在违规分析器页面的问题排查令牌(或唯一 ID)字段中,输入您要排查的拒绝事件的唯一 ID。
点击继续。
- 在问题排查结果页面上,点击切换到传统视图。
如果您想切换回去并查看全面的评估报告,请在传统版问题排查结果页面中点击分析完整详情。
后续步骤
- 了解 VPC Service Controls 审核日志
- 了解 VPC Service Controls 唯一标识符如何帮助排查与服务边界相关的问题。
- 了解如何在违规分析器中诊断访问被拒问题,以及如何查看其全面的评估报告。