Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls-Fehler mithilfe von Cloud Logging finden.
VPC Service Controls isoliert mehrmandantenfähige Google Cloud-Dienste und hilft dabei, das Risiko der Daten-Exfiltration zu minimieren. Weitere Informationen finden Sie unter VPC Service Controls.
Bestimmen, ob ein Fehler auf VPC Service Controls zurückzuführen ist
VPC Service Controls kann die Attribute von Google Cloud ändern und kaskadierende Auswirkungen auf alle Dienste haben. Dies kann die Fehlerbehebung erschweren, insbesondere wenn Sie nicht wissen, wonach Sie suchen müssen.
Es kann bis zu 30 Minuten dauern, bis die Dienstperimeteränderungen wirksam werden. Wenn die Änderungen übernommen wurden, darf der Zugriff auf die im Perimeter eingeschränkten Dienste die Perimetergrenze nicht überschreiten, es sei denn, sie wurden ausdrücklich autorisiert.
Um festzustellen, ob ein Fehler mit VPC Service Controls zusammenhängt, prüfen Sie, ob Sie VPC Service Controls aktiviert und auf die Projekte und Dienste angewendet haben, die Sie verwenden möchten. Prüfen Sie die VPC Service Controls-Richtlinie auf dieser Ebene der Ressourcenhierarchie, um festzustellen, ob die Projekte und Dienste durch VPC Service Controls geschützt sind.
Nehmen wir ein Beispielszenario, in dem Sie indirekt einen Dienst verwenden, der von VPC Service Controls als eingeschränkter Dienst in einem Projekt innerhalb eines Dienstperimeters gekennzeichnet wird. In einem solchen Fall wird der Zugriff möglicherweise von VPC Service Controls verweigert.
Normalerweise geben Dienste Fehlermeldungen von ihren Abhängigkeiten weiter. Wenn einer der folgenden Fehler auftritt, weist dies auf ein Problem mit VPC Service Controls hin.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Weitere Dienste:
403: Request is prohibited by organization's policy.
Eindeutige ID des Fehlers verwenden
Im Gegensatz zur Google Cloud Console gibt das gcloud-Befehlszeilentool eine eindeutige ID für VPC Service Controls-Fehler zurück. Filtern Sie die Logs mithilfe von Metadaten, um Logeinträge für andere Fehler zu finden.
Ein von VPC Service Controls generierter Fehler enthält eine eindeutige ID, mit der relevante Audit-Logs identifiziert werden.
So rufen Sie anhand der eindeutigen ID Informationen zu einem Fehler ab:
Rufen Sie in der Google Cloud Console die Seite Cloud Logging für das Projekt innerhalb des Dienstperimeters auf, das den Fehler ausgelöst hat.
Geben Sie im Suchfilterfeld die eindeutige ID des Fehlers ein.
Sie sehen den entsprechenden Logeintrag.
Logs mit Metadaten filtern
Mit dem Log-Explorer können Sie nach Fehlern im Zusammenhang mit VPC Service Controls suchen. Sie können die Logs mithilfe der Logging-Abfragesprache abrufen. Informationen zum Erstellen von Abfragen finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.
Console
So rufen Sie die VPC Service Controls-Fehler der letzten 24 Stunden in Logging ab:
Wechseln Sie in der Google Cloud Console zur Seite Cloud Logging.
Achten Sie darauf, dass Sie sich in dem Projekt befinden, das sich innerhalb des Dienstperimeters befindet.
Geben Sie im Suchfilterfeld Folgendes ein:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"Wählen Sie im Menü Ressource die Option Geprüfte Ressource aus.
Wählen Sie im Menü für die Zeitraumauswahl die Option Letzte 24 Stunden aus.
Optional: Verwenden Sie das Menü Zeitraumauswahl, um die VPC Service Controls-Fehler zu finden, die in einem anderen Zeitraum aufgetreten sind.
gcloud
Führen Sie den folgenden Befehl aus, um die VPC Service Controls-Fehler der letzten 24 Stunden abzurufen:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'Der Befehl
readist standardmäßig auf die letzten 24 Stunden beschränkt. Wenn Sie VPC Service Controls-Logs für einen anderen Zeitraum abrufen möchten, können Sie einen der folgenden Befehle verwenden:Führen Sie den folgenden Befehl aus, um Logs abzurufen, die in einem bestimmten Zeitraum ab dem aktuellen Datum generiert wurden:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION (Dauer) ist ein formatierter Zeitraum. Weitere Informationen zur Formatierung finden Sie unter Relative Dauer- und Zeitformate für die gcloud CLI.
Führen Sie den folgenden Befehl aus, um alle VPC Service Controls-Fehler abzurufen, die in der letzten Woche aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dFühren Sie den folgenden Befehl aus, um Logs abzurufen, die zwischen bestimmten Daten generiert wurden:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME und END_DATETIME sind formatierte Datums- und Uhrzeitstrings. Weitere Informationen zur Formatierung finden Sie unter Absolute Datums- und Uhrzeitformate für die gcloud CLI.
So rufen Sie beispielsweise alle VPC Service Controls-Fehler ab, die zwischen dem 22. März 2019 und dem 26. März 2019 aufgetreten sind:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Nächste Schritte
- Probleme mit der Fehlerbehebung für VPC Service Controls diagnostizieren
- Häufige Probleme mit VPC Service Controls beheben
- Häufige Probleme im Zusammenhang mit anderen Google Cloud-Diensten beheben