Questa pagina descrive come trovare gli errori dei Controlli di servizio VPC utilizzando Cloud Logging.
I Controlli di servizio VPC consentono di mitigare i rischi di esfiltrazione di dati isolando i servizi Google Cloud multi-tenant. Per ulteriori informazioni, consulta la Panoramica dei Controlli di servizio VPC.
Determinare se un errore è dovuto ai Controlli di servizio VPC
I Controlli di servizio VPC possono modificare le proprietà di Google Cloud e avere effetti a cascata tra i vari servizi. Questo può complicare il debug dei problemi, soprattutto se non sai cosa cercare.
La propagazione e l'applicazione delle modifiche al perimetro di servizio possono richiedere fino a 30 minuti. Una volta che le modifiche sono state propagate, l'accesso ai servizi limitati nel perimetro non può attraversare i confini del perimetro senza autorizzazione esplicita.
Per determinare se un errore riguarda i Controlli di servizio VPC, verifica di aver attivato i Controlli di servizio VPC e applicato ai progetti e ai servizi che stai tentando di utilizzare. Per verificare se i progetti e i servizi sono protetti dai Controlli di servizio VPC, controlla il criterio Controlli di servizio VPC a quel livello della gerarchia delle risorse.
Considera uno scenario di esempio in cui utilizzi indirettamente un servizio contrassegnato come servizio con restrizioni dai Controlli di servizio VPC in un progetto che si trova all'interno di un perimetro di servizio. In questo caso, i Controlli di servizio VPC potrebbero negare l'accesso.
In genere, i servizi propagano i messaggi di errore dalle loro dipendenze. Se si verifica uno dei seguenti errori, significa che si è verificato un problema con Controlli di servizio VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Altri servizi:
403: Request is prohibited by organization's policy.
Utilizza l'ID univoco dell'errore
A differenza della console Google Cloud, lo strumento a riga di comando gcloud restituisce un ID univoco per gli errori di Controlli di servizio VPC. Per individuare le voci di log per altri errori, filtra i log utilizzando i metadati.
Un errore generato dai Controlli di servizio VPC include un ID univoco utilizzato per identificare gli audit log pertinenti.
Per ottenere informazioni su un errore utilizzando l'ID univoco:
Nella console Google Cloud, vai alla pagina Cloud Logging relativa al progetto all'interno del perimetro di servizio che ha attivato l'errore.
Nel campo del filtro di ricerca, inserisci l'ID univoco dell'errore.
Viene visualizzata la voce di log pertinente.
Filtrare i log utilizzando i metadati
Puoi utilizzare Esplora log per trovare gli errori relativi ai Controlli di servizio VPC. Per recuperare i log, puoi utilizzare il linguaggio delle query di Logging. Per informazioni sulla creazione di query, consulta Creazione di query utilizzando il linguaggio di query di Logging.
Console
Per visualizzare gli errori dei Controlli di servizio VPC nelle ultime 24 ore in Logging, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Cloud Logging.
Assicurati di essere nel progetto all'interno del perimetro di servizio.
Nel campo del filtro di ricerca, inserisci quanto segue:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"Nel menu Risorsa, seleziona Risorsa controllata.
Nel menu del selettore dell'intervallo di tempo, seleziona Ultime 24 ore.
(Facoltativo) Per trovare gli errori dei Controlli di servizio VPC che si sono verificati durante un periodo diverso, utilizza il menu del selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli errori dei Controlli di servizio VPC nelle ultime 24 ore, esegui questo comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'Per impostazione predefinita, il comando
readè limitato alle ultime 24 ore. Per ottenere i log di Controlli di servizio VPC per un periodo diverso, utilizza uno dei seguenti comandi:Per recuperare i log generati entro un determinato periodo dalla data corrente, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION è un periodo di tempo formattato. Per ulteriori informazioni sulla formattazione, consulta Formati di durata e ora relativi per gcloud CLI.
Per recuperare tutti gli errori dei Controlli di servizio VPC che si sono verificati nell'ultima settimana, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPer recuperare i log generati in date specifiche, esegui questo comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME e END_DATETIME sono stringhe di data e ora formattate. Per ulteriori informazioni sulla formattazione, consulta Formati di data e ora assoluti per gcloud CLI.
Ad esempio, per ottenere tutti gli errori dei Controlli di servizio VPC che si sono verificati tra il 22 marzo 2019 e il 26 marzo 2019:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
Passaggi successivi
- Diagnostica i problemi utilizzando lo strumento per la risoluzione dei problemi relativi ai Controlli di servizio VPC
- Risolvere i problemi comuni relativi ai Controlli di servizio VPC
- Risolvere i problemi comuni relativi ad altri servizi Google Cloud