Mengambil error Kontrol Layanan VPC dari log audit

Halaman ini menjelaskan cara menemukan error Kontrol Layanan VPC menggunakan Cloud Logging.

Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dengan mengisolasi layanan Google Cloud multi-tenant. Untuk informasi lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.

Menentukan apakah error disebabkan oleh Kontrol Layanan VPC

Kontrol Layanan VPC dapat mengubah properti Google Cloud dan memiliki efek menurun di seluruh layanan. Hal ini dapat mempersulit proses debug masalah, terutama jika Anda tidak tahu apa yang harus dicari.

Perubahan perimeter layanan dapat memerlukan waktu hingga 30 menit untuk diterapkan dan diterapkan. Setelah perubahan diterapkan, akses ke layanan yang dibatasi dalam perimeter tidak diizinkan untuk melintasi batas perimeter kecuali jika diizinkan secara eksplisit.

Untuk menentukan apakah suatu error terkait dengan Kontrol Layanan VPC, periksa apakah Anda telah mengaktifkan Kontrol Layanan VPC dan menerapkannya ke project dan layanan yang Anda coba gunakan. Untuk memastikan apakah project dan layanan dilindungi oleh Kontrol Layanan VPC, periksa kebijakan Kontrol Layanan VPC pada level hierarki resource tersebut.

Pertimbangkan contoh skenario saat Anda secara tidak langsung menggunakan layanan yang ditandai sebagai layanan dibatasi oleh Kontrol Layanan VPC dalam project yang berada di dalam perimeter layanan. Dalam kasus semacam ini, Kontrol Layanan VPC mungkin menolak akses.

Biasanya, layanan menyebarkan pesan error dari dependensinya. Jika Anda mengalami salah satu error berikut, hal ini menunjukkan adanya masalah pada Kontrol Layanan VPC.

  • Cloud Storage: 403: Request violates VPC Service Controls.

  • BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.

  • Layanan lainnya: 403: Request is prohibited by organization's policy.

Gunakan ID unik error

Tidak seperti Google Cloud Console, alat command line gcloud menampilkan ID unik untuk error Kontrol Layanan VPC. Guna menemukan entri log untuk error lainnya, filter log menggunakan metadata.

Error yang dihasilkan oleh Kontrol Layanan VPC menyertakan ID unik yang digunakan untuk mengidentifikasi log audit yang relevan.

Untuk mendapatkan informasi tentang error menggunakan ID unik, lakukan hal berikut:

  1. Di Konsol Google Cloud, buka halaman Cloud Logging untuk project di dalam perimeter layanan yang memicu error.

    Buka Cloud Logging

  2. Di kolom filter penelusuran, masukkan ID unik error.

Anda dapat melihat entri log yang relevan.

Memfilter log menggunakan metadata

Anda dapat menggunakan Logs Explorer untuk menemukan error yang terkait dengan Kontrol Layanan VPC. Anda dapat menggunakan Bahasa kueri logging untuk mengambil log. Untuk mengetahui informasi tentang cara mem-build kueri, lihat Membuat kueri dengan menggunakan bahasa kueri Logging.

Konsol

Untuk mendapatkan error Kontrol Layanan VPC selama 24 jam terakhir di Logging, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Cloud Logging.

    Buka Cloud Logging

  2. Pastikan Anda berada dalam project yang berada dalam perimeter layanan.

  3. Pada kolom filter penelusuran, masukkan informasi berikut:

    protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

  4. Di menu Resource, pilih Audited Resource.

  5. Di menu pemilih rentang waktu, pilih 24 jam terakhir.

  6. Opsional: Untuk menemukan error Kontrol Layanan VPC yang terjadi selama periode yang berbeda, gunakan menu pemilih rentang waktu.

gcloud

  • Untuk mendapatkan error Kontrol Layanan VPC selama 24 jam terakhir, jalankan perintah berikut:

    gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'

    Secara default, perintah read dibatasi hingga 24 jam terakhir. Agar dapat memperoleh log Kontrol Layanan VPC untuk periode yang berbeda, gunakan salah satu perintah berikut:

  • Untuk mengambil log yang dihasilkan dalam periode tertentu dari tanggal saat ini, jalankan perintah berikut:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION

    DURATION adalah periode waktu yang diformat. Untuk mengetahui informasi selengkapnya tentang pemformatan, lihat format waktu dan durasi relatif untuk gcloud CLI.

  • Untuk mengambil semua error Kontrol Layanan VPC yang terjadi dalam seminggu terakhir, jalankan perintah berikut:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

  • Untuk mengambil log yang dihasilkan di antara tanggal tertentu, jalankan perintah berikut:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'

    START_DATETIME dan END_DATETIME diformat string tanggal dan waktu. Untuk mengetahui informasi lebih lanjut mengenai pemformatan, baca format tanggal dan waktu absolut untuk gcloud CLI.

    Misalnya, untuk mendapatkan semua error Kontrol Layanan VPC yang terjadi antara 22 Maret 2019 dan 26 Maret 2019:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'

Langkah selanjutnya