En esta página, se describe cómo puedes encontrar errores en los Controles del servicio de VPC con Cloud Logging.
Los Controles del servicio de VPC ayudan a mitigar los riesgos de robo de datos a través del aislamiento de los servicios de Google Cloud de varios usuarios. Para obtener más información, consulta Descripción general de los Controles del servicio de VPC.
Determina si hay un error debido a los Controles del servicio de VPC
Los Controles del servicio de VPC pueden modificar las propiedades de Google Cloud y tener efectos en cascada en todos los servicios. Esto puede dificultar la depuración de problemas, en especial, si no sabes qué buscar.
Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, el acceso a los servicios restringidos en el perímetro no podrá cruzar el límite del perímetro, a menos que se autorice de forma explícita.
Para determinar si un error está relacionado con los Controles del servicio de VPC, verifica si habilitaste los Controles del servicio de VPC y si lo aplicaste a los proyectos y servicios que intentas usar. Para verificar si los proyectos y servicios están protegidos por los Controles del servicio de VPC, consulta la política de los Controles del servicio de VPC en ese nivel de la jerarquía de recursos.
Considera un ejemplo en el que usas un servicio de forma indirecta que los Controles del servicio de VPC marcan como servicio restringido en un proyecto que se encuentra dentro de un perímetro de servicio. En ese caso, es posible que los Controles del servicio de VPC estén negando el acceso.
Por lo general, los servicios propagarán mensajes de error de sus dependencias. Si encuentras uno de los siguientes errores, es un problema de los Controles del servicio de VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Otros servicios:
403: Request is prohibited by organization's policy.
Usa el ID único del error
A diferencia de la consola de Google Cloud, la herramienta de línea de comandos de gcloud muestra un ID único para errores de los Controles del servicio de VPC. Para buscar las entradas de registro de otros errores, filtra los registros mediante metadatos.
Los errores que generan los Controles del servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría relevantes.
Para obtener información acerca de un error mediante el ID único, haz lo siguiente:
En la consola de Google Cloud, ve a la página Registros de Cloud del proyecto que se encuentra dentro del perímetro de servicio que activó el error.
En el campo de filtro de búsqueda, ingresa el ID único del error.
Puedes ver la entrada de registro relevante.
Filtra registros mediante metadatos
Puedes usar el Explorador de registros para encontrar errores relacionados con los Controles del servicio de VPC. Puedes usar el lenguaje de consulta de Logging para recuperar los registros. Si deseas obtener información para compilar consultas, consulta Cómo compilar consultas con el lenguaje de consulta de Logging.
Console
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC en Logging, haz lo siguiente:
En la consola de Google Cloud, ve a la página de Cloud Logging.
Asegúrate de que estás en el proyecto que se encuentra dentro del perímetro del servicio.
En el campo de filtro de búsqueda, ingresa lo siguiente:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"En el menú Recurso, selecciona Recurso auditado.
En el menú del selector de rango de tiempo, selecciona Últimas 24 horas.
Opcional: Para encontrar los errores de los Controles del servicio de VPC que se produjeron durante un período diferente, usa el menú Selector de intervalo de tiempo.
gcloud
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC, ejecuta el siguiente comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'De forma predeterminada, el comando
readestá limitado a las últimas 24 horas. Para obtener los registros de los Controles del servicio de VPC durante un período diferente, usa uno de los siguientes comandos:Para recuperar los registros que se generaron en un período determinado a partir de la fecha actual, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION es un período con formato. Para obtener más información sobre el formato, consulta los formatos de duración y de hora relativos de gcloud CLI.
Para recuperar todos los errores de los Controles del servicio de VPC que se produjeron en la semana anterior, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPara recuperar los registros que se generaron entre fechas específicas, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'START_DATETIME y END_DATETIME son cadenas de fecha y hora con formato. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos de gcloud CLI.
Por ejemplo, para obtener todos los errores de los Controles del servicio de VPC que se produjeron entre el 22 y el 26 de marzo de 2019, ejecuta lo siguiente:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
¿Qué sigue?
- Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
- Soluciona problemas habituales de los Controles del servicio de VPC
- Soluciona problemas comunes relacionados con otros servicios de Google Cloud