En esta página, se describe cómo encontrar errores de los Controles del servicio de VPC mediante Cloud Logging.
Los Controles del servicio de VPC ayudan a mitigar los riesgos de robo de datos mediante el aislamiento de los servicios de Google Cloud de múltiples usuarios. Para obtener más información, consulta Descripción general de los Controles del servicio de VPC.
Determina si hay un error debido a los Controles del servicio de VPC
Los Controles del servicio de VPC pueden modificar las propiedades de Google Cloud y tener efectos en cascada en todos los servicios. Esto puede dificultar la depuración de problemas, en especial si no sabes qué buscar.
Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, no se permite que el acceso a los servicios restringidos en el perímetro cruce el límite, a menos que se autorice de forma explícita.
Para determinar si un error está relacionado con los Controles del servicio de VPC, verifica si habilitaste los Controles del servicio de VPC y si lo aplicaste a los proyectos y servicios que intentas usar. Para verificar si los proyectos y servicios están protegidos por los Controles del servicio de VPC, verifica la política de Controles del servicio de VPC en ese nivel de la jerarquía de recursos.
Considera una situación de ejemplo en la que usas de forma indirecta un servicio que los Controles del servicio de VPC marcan como servicio restringido en un proyecto que está dentro de un perímetro de servicio. En ese caso, es posible que los Controles del servicio de VPC rechacen el acceso.
Por lo general, los servicios propagarán mensajes de error de sus dependencias. Si encuentras uno de los siguientes errores, significa que hay un problema con los Controles del servicio de VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Otros servicios:
403: Request is prohibited by organization's policy.
Usa el ID único del error
A diferencia de la consola de Google Cloud, la herramienta de línea de comandos de gcloud muestra un ID único para los errores de los Controles del servicio de VPC. Para ubicar las entradas de registro de otros errores, filtra los registros con metadatos.
Los errores que generan los Controles del servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría relevantes.
Para obtener información sobre un error mediante el ID único, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cloud Logging del proyecto dentro del perímetro de servicio que activó el error.
En el campo de filtro de búsqueda, ingresa el ID único del error.
Podrás ver la entrada de registro relevante.
Filtra registros mediante metadatos
Puedes usar el Explorador de registros para encontrar errores relacionados con los Controles del servicio de VPC. Puedes usar el lenguaje de consulta de Logging para recuperar los registros. Para obtener información sobre la compilación de consultas, ve a Compila consultas mediante el lenguaje de consulta de Logging.
Consola
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC en Logging, haz lo siguiente:
En la consola de Google Cloud, ve a la página de Cloud Logging.
Asegúrate de estar en el proyecto que está dentro del perímetro de servicio.
En el campo de filtro de búsqueda, ingresa lo siguiente:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"En el menú Recurso, selecciona Recurso auditado.
En el menú de selección de intervalo de tiempo, selecciona Últimas 24 horas.
Opcional: Para encontrar los errores de los Controles del servicio de VPC que se produjeron durante un período diferente, usa el menú del selector de intervalo de tiempo.
gcloud
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC, ejecuta el siguiente comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'De forma predeterminada, el comando
readestá limitado a las últimas 24 horas. Para obtener los registros de los Controles del servicio de VPC durante un período diferente, usa uno de los siguientes comandos:Para recuperar los registros que se generaron en un período determinado a partir de la fecha actual, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION es un período con formato. Para obtener más información sobre el formato, consulta los formatos de duración y de tiempo relativos dgcloud CLIud.
Para recuperar todos los errores de los Controles del servicio de VPC que se produjeron la semana pasada, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPara recuperar los registros que se generaron entre fechas específicas, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME y END_DATETIME son strings de fecha y hora con formato. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos para gcloud CLI.
Por ejemplo, para obtener todos los errores de los Controles del servicio de VPC que se produjeron entre el 22 y el 26 de marzo de 2019, ejecuta lo siguiente:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
¿Qué sigue?
- Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
- Soluciona problemas comunes de los Controles del servicio de VPC
- Soluciona problemas comunes relacionados con otros servicios de Google Cloud