בדף הזה מוסבר איך להגדיר את לוח הבקרה של הפרות VPC Service Controls ואיך להשתמש בו כדי לראות את הפרטים על דחיות גישה לפי גבולות גזרה לשירות בארגון.
עלות
כשמשתמשים בלוח הבקרה של הפרות VPC Service Controls, צריך לקחת בחשבון את העלויות שנובעות מהשימוש ברכיבים הבאים של Google Cloudשחייבים עליהם:
במהלך ההגדרה של מרכז הבקרה של ההפרות, אתם פורסים משאבים של Cloud Logging בארגון, ולכן אתם צוברים עלויות על השימוש במשאבים האלה.
מכיוון שאתם משתמשים ביעד של נתב יומנים ברמת הארגון עבור לוח הבקרה של ההפרות, VPC Service Controls משכפל את כל יומני הביקורת שלכם בקטגוריית היומנים שהגדרתם. השימוש בקטגוריה ביומן כרוך בעלויות. כדי להעריך את העלות הפוטנציאלית של השימוש בקטגוריה ביומן, צריך להריץ שאילתה ולחשב את נפח יומני הביקורת. מידע נוסף על שליחת שאילתות לגבי היומנים הקיימים מופיע במאמר הצגת יומנים.
למידע על התמחור של Cloud Logging ו-Cloud Monitoring, ראו תמחור של Google Cloud Observability.
לפני שמתחילים
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Service Usage API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Service Usage API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
התפקידים הנדרשים
-
כדי לקבל את ההרשאות שנדרשות להגדרת לוח הבקרה של ההפרות, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM אדמין של Logging (
roles/logging.admin) בפרויקט שבו אתם מגדירים קטגוריית יומנים במהלך ההגדרה של לוח הבקרה של ההפרות. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.זהו תפקיד שמוגדר מראש וכולל את ההרשאות שנדרשות להגדרת לוח הבקרה של ההפרות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להגדיר את לוח הבקרה של ההפרות, נדרשות ההרשאות הבאות:
-
כדי להציג רשימה של מאגרי היומנים מהפרויקט שנבחר:
logging.buckets.list -
כדי ליצור מאגר חדש ליומנים:
logging.buckets.create -
כדי להפעיל את Observability Analytics בדלי היומנים שנבחר:
logging.buckets.update -
כדי ליצור יעד חדש של Log Router:
logging.sinks.create
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
-
כדי להציג רשימה של מאגרי היומנים מהפרויקט שנבחר:
-
כדי לקבל את ההרשאות שדרושות לצפייה בלוח הבקרה של ההפרות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו הגדרתם מאגר יומנים במהלך ההגדרה של לוח הבקרה של ההפרות:
- בעל הרשאת גישה לתצוגת יומנים (
roles/logging.viewAccessor) - בעל הרשאת צפייה בפותר הבעיות בנושא VPC Service Controls (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לצפייה בלוח הבקרה של ההפרות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לראות את לוח הבקרה של ההפרות, נדרשות ההרשאות הבאות:
-
כדי להציג את השמות של כללי מדיניות הגישה:
accesscontextmanager.policies.list -
כדי להציג את שמות הפרויקטים:
resourcemanager.projects.get
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
- בעל הרשאת גישה לתצוגת יומנים (
הגדרת מרכז הבקרה
כדי להגדיר את לוח הבקרה של ההפרות, צריך להגדיר קטגוריה ביומן כדי לצבור את יומני הביקורת של VPC Service Controls וליצור יעד של Log Router ברמת הארגון שינתב את כל יומני הביקורת של VPC Service Controls לקטגוריה ביומן.
כדי להגדיר את מרכז הבקרה של ההפרות בארגון, מבצעים את הפעולות הבאות פעם אחת:
נכנסים לדף VPC Service Controls במסוף Google Cloud .
אם מוצגת בקשה לעשות זאת, בוחרים את הארגון. אפשר לגשת לדף VPC Service Controls רק ברמת הארגון.
בדף VPC Service Controls (אמצעי בקרה של שירותי VPC), לוחצים על Violation dashboard (לוח בקרה של הפרות).
בדף Violation dashboard setup, בשדה Project, בוחרים את הפרויקט שמכיל את קטגוריית היומן שבה רוצים לצבור את יומני הביקורת.
בקטע יעד של קטגוריה ביומן, בוחרים באפשרות קטגוריה ביומן קיימת או באפשרות יצירה של קטגוריה ביומן חדשה.
אם רוצים להשתמש בדלי קיים של יומנים, בוחרים את דלי היומנים הרצוי מתוך הרשימה Log bucket.
אם יוצרים מאגר חדש ליומנים, מזינים את המידע הנדרש בשדות הבאים:
שם: שם לקטגוריית היומנים.
תיאור: תיאור של קטגוריה ביומן.
אזור: האזור שבו רוצים לאחסן את היומנים.
תקופת שמירה: משך זמן מותאם אישית שבו Cloud Logging צריך לשמור את היומנים.
מידע נוסף על השדות האלה זמין במאמר יצירת קטגוריה.
לוחצים על Create log router sink (יצירת יעד של נתבי יומנים). הכלי VPC Service Controls יוצר יעד חדש של נתבי יומנים בשם
reserved_vpc_sc_dashboard_log_routerבפרויקט שנבחר.
הפעולה הזו נמשכת כדקה.
צפייה בדחיות גישה במרכז הבקרה
אחרי שמגדירים את מרכז הבקרה של ההפרות, אפשר להשתמש בו כדי לראות את הפרטים על דחיות גישה לפי גבולות שירות בארגון.
נכנסים לדף VPC Service Controls במסוף Google Cloud .
אם מוצגת בקשה לעשות זאת, בוחרים את הארגון. אפשר לגשת לדף VPC Service Controls רק ברמת הארגון.
בדף VPC Service Controls (אמצעי בקרה של שירותי VPC), לוחצים על Violation dashboard (לוח בקרה של הפרות). יופיע הדף לוח הבקרה של ההפרות.
בדף לוח הבקרה של ההפרות, אפשר לבצע את הפעולות הבאות:
סינון: ברשימה Filter, בוחרים את האפשרויות הרצויות כדי לסנן ולהציג נתונים ספציפיים – למשל, principal, מדיניות גישה, משאב. כדי להחיל מסנן לפי ערך ספציפי מאחת הטבלאות, לוחצים על הוספת מסנן לפני הערך.
Time intervals (מרווחי זמן): כדי לבחור את טווח הזמן של הנתונים, לוחצים על אחד ממרווחי הזמן המוגדרים מראש. כדי להגדיר טווח זמן בהתאמה אישית, לוחצים על בהתאמה אישית.
טבלאות ותרשימים: גוללים בדף מרכז הבקרה בנושא הפרות כדי לראות את הנתונים שמסווגים בטבלאות ובתרשימים שונים. בלוח הבקרה של ההפרות מוצגות הטבלאות והתרשימים הבאים:
הפרות
מספר ההפרות
ההפרות העיקריות לפי חשבון משתמש
ההפרות העיקריות לפי כתובת IP ראשית
ההפרות העיקריות לפי שירות
ההפרות העיקריות לפי שיטה
ההפרות המובילות לפי משאב
ההפרות העיקריות לפי גבולות גזרה לשירות
ההפרות העיקריות לפי מדיניות הגישה
ספירה: בטבלה הפרות מפורט מספר הפעמים שכל דחיית גישה התרחשה בעמודה ספירה, ואילו בעמודה ההתרחשות האחרונה מוצג חותם הזמן של הדחייה האחרונה. בעמודות Unique count בטבלאות אחרות בלוח הבקרה של ההפרות מוצגים מקרים ייחודיים שמקובצים לפי מאפיינים כמו principal, principal IP ושירות.
פתרון בעיות שקשורות לסירוב גישה: לוחצים על הטוקן בעמודה פתרון בעיות שקשורות לטוקן בטבלה הפרות כדי לפתוח את כלי הניתוח של ההפרות ולראות את תוצאת פתרון הבעיות שקשורות לסירוב הגישה. בעמודה הזו מוצג רק הטוקן האחרון לפתרון בעיות שקשור לדחיית הגישה. כדי לראות את כל המקרים של דחיית הגישה, לוחצים על הצגת פרטים נוספים. נפתחת החלונית Violation instances (מופעים של הפרות) ומוצגים בה כל הטוקנים של הסירוב לגישה, יחד עם חותמות הזמן והמזהים הייחודיים שלהם. לחיצה על טוקן בחלונית הזו תפתח את תוצאת פתרון הבעיות של דחיית הגישה.
מידע על השימוש בכלי לניתוח הפרות זמין במאמר אבחון של דחיית גישה בכלי לניתוח הפרות.
חלוקה לדפים: בלוח הבקרה 'הפרות מדיניות' מוצגים הנתונים בכל הטבלאות בחלוקה לדפים. לוחצים על הקודם ועל הבא כדי לנווט ולראות את הנתונים שמוצגים בדפים.
שינוי sink ביומן של Log Router: כדי לשנות את sink ביומן של Log Router שהוגדר, לוחצים על עריכת sink ביומן.
מידע על שינוי של אובייקט מסוג sink בניתוב יומנים זמין במאמר ניהול אובייקטים מסוג sink.
פתרון בעיות
אם נתקלתם בבעיות בשימוש בלוח הבקרה בנושא הפרות, כדאי לנסות לפתור אותן לפי ההוראות שמפורטות בקטעים הבאים.
הגישה לחשבון המשתמש שלך נחסמה על ידי גבולות גזרה לשירות
אם נתקלתם בשגיאה בגלל הרשאות לא מספיקות, בדקו אם יש גבולות גזרה לשירות בארגון שחוסמים את הגישה ל-Cloud Logging API. כדי לפתור את הבעיה, צריך ליצור כלל תעבורת נתונים נכנסת (ingress) שמאפשר גישה אל Cloud Logging API:
נכנסים לדף VPC Service Controls במסוף Google Cloud .
אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.
בדף VPC Service Controls, לוחצים על גבולות גזרה לשירות שמגן על הפרויקט שמכיל את קטגוריה ביומן.
יוצרים כלל תעבורת נתונים נכנסת (ingress) שמאפשר גישה ל-Cloud Logging API בפרויקט.
הגישה לקטגוריית היומנים נדחתה על ידי גבולות גזרה לשירות
אם VPC Service Controls לא מעביר את יומני הביקורת שלכם לקטגוריה ביומן שהגדרתם, יכול להיות שתצטרכו ליצור כלל תעבורת נתונים נכנסת (ingress) שמאפשר לחשבון השירות של יעד Log Router לגשת ל-Cloud Logging API בגבולות הגזרה לשירות:
נכנסים לדף Log Router במסוף Google Cloud .
בדף Log Router, לוחצים על תפריט עבור יעד Log Router שהוגדר, ואז על View sink details (הצגת פרטי היעד).
בתיבת הדו-שיח Sink details (פרטי יעד), מעתיקים מהשדה Writer identity (זהות הכותב) את חשבון השירות שמשמש את יעד Log Router.
נכנסים לדף VPC Service Controls במסוף Google Cloud .
אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.
בדף VPC Service Controls, לוחצים על גבולות גזרה לשירות שמגן על הפרויקט שמכיל את קטגוריה ביומן.
יוצרים כלל תעבורה נכנסת שמאפשר לחשבון השירות של יעד נתבי היומנים לגשת ל-Cloud Logging API בפרויקט.
מגבלות
VPC Service Controls לא ממלא מחדש את יומני הביקורת מקטגוריות אחרות ברמת הפרויקט:
אם יוצרים קטגוריה ביומן חדשה במהלך ההגדרה של לוח הבקרה של ההפרות, שירות VPC Service Controls לא ימלא מחדש את היומנים הקיימים מפרויקטים אחרים בארגון בקטגוריה ביומן החדשה שנוצרה. לוח הבקרה יופיע ריק עד ש-VPC Service Controls יתעד הפרות חדשות וינתב את היומנים האלה לדלי היומנים החדש.
אם בוחרים קטגוריה ביומן קיימת במהלך ההגדרה של לוח הבקרה של ההפרות, בלוח הבקרה מוצג מידע על כל היומנים הקיימים מקטגוריה ביומן שנבחרה. בלוח הבקרה לא מוצגים יומנים מפרויקטים אחרים בארגון, כי VPC Service Controls לא ממלא מחדש את היומנים האלה בדלי היומנים שנבחר.
המאמרים הבאים
- יומן ביקורת של VPC Service Controls
- איך מאבחנים דחיית גישה בכלי לניתוח הפרות ואיך צופים בדוח ההערכה המקיף.
- אבחון של דחיית גישה והצגת הדוח הקלאסי
- פתרון בעיות נפוצות ב-VPC Service Controls עם שירותי Google Cloud