En esta página, se describe cómo encontrar errores de los Controles del servicio de VPC mediante Cloud Logging.
Los Controles del servicio de VPC mitigan los riesgos de robo de datos mediante el aislamiento servicios multiusuario de Google Cloud. Para obtener más información, consulta Descripción general de los Controles del servicio de VPC.
Determina si hay un error debido a los Controles del servicio de VPC
Los Controles del servicio de VPC pueden modificar las propiedades de Google Cloud tienen efectos en cascada en los servicios. Esto puede dificultar la depuración en especial si no sabes qué buscar.
Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en se propagan y tienen efecto. Cuando se propaguen los cambios, el acceso a los servicios restringidos en el perímetro no podrá cruzar el límite del perímetro, a menos que se autorice de forma explícita.
Para determinar si un error está relacionado con los Controles del servicio de VPC, verifica si habilitaste los Controles del servicio de VPC y si lo aplicaste a los proyectos y servicios que intentas usar. Para verificar si los proyectos y servicios están protegidos por los Controles del servicio de VPC, verifica la política de los Controles del servicio de VPC en ese nivel de la jerarquía de recursos.
Considera un ejemplo en el que usas un servicio de forma indirecta que los Controles del servicio de VPC marcan como servicio restringido en un proyecto que se encuentra dentro de un perímetro de servicio. En ese caso, los Controles del servicio de VPC podrían deniega el acceso.
Por lo general, los servicios propagarán mensajes de error de sus dependencias. Si encuentras uno de los siguientes errores, significa que hay un problema con los Controles del servicio de VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Otros servicios:
403: Request is prohibited by organization's policy.
Usa el ID único del error
A diferencia de la consola de Google Cloud, la herramienta de línea de comandos de gcloud muestra un ID único para
Errores de los Controles del servicio de VPC. Para ubicar entradas de registro de otros errores, filtra las
los registros con metadatos.
Los errores que generan los Controles del servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría relevantes.
Para obtener información acerca de un error mediante el ID único, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cloud Logging de dentro del perímetro de servicio que activó el error.
En el campo de filtro de búsqueda, ingresa el ID único del error.
Puedes ver la entrada de registro relevante.
Filtra registros mediante metadatos
Puedes usar el Explorador de registros para encontrar errores relacionados con los Controles del servicio de VPC. Puedes usar el lenguaje de consulta de Logging para recuperar los registros. Si deseas obtener información para compilar consultas, consulta Cómo compilar consultas con el lenguaje de consulta de Logging.
Console
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC en Logging, haz lo siguiente:
En la consola de Google Cloud, ve a la página de Cloud Logging.
Asegúrate de estar en el proyecto que está dentro del servicio perímetro de servicio.
En el campo de filtro de búsqueda, ingresa lo siguiente:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"En el menú Recurso, selecciona Recurso auditado.
En el menú del selector de rango de tiempo, selecciona Últimas 24 horas.
Opcional: Para encontrar los errores de los Controles del servicio de VPC que se produjeron durante un período diferente, usa el menú Selector de intervalo de tiempo.
gcloud
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC, ejecuta el siguiente comando: siguiente comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'De forma predeterminada, el comando
readestá limitado a las últimas 24 horas. Para obtener los registros de los Controles del servicio de VPC durante un período diferente, usa uno de los siguientes comandos:Para recuperar los registros que se generaron en un período determinado a partir de la fecha actual, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION es un período con formato. Más información sobre el formato; consulta los formatos de duración y hora relativos para gcloud CLI.
Para recuperar todos los errores de los Controles del servicio de VPC que se produjeron en la semana anterior, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPara recuperar los registros que se generaron entre fechas específicas, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME y END_DATETIME son cadenas de fecha y hora con formato. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos de la CLI de gcloud.
Por ejemplo, para obtener todos los errores de los Controles del servicio de VPC que se produjeron entre el 22 y el 26 de marzo de 2019, ejecuta lo siguiente:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
¿Qué sigue?
- Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
- Soluciona problemas comunes de los Controles del servicio de VPC
- Soluciona problemas comunes relacionados con otros servicios de Google Cloud