Questa pagina fornisce soluzioni ai problemi che potresti riscontrare quando utilizzi un Servizio Google Cloud all'interno di un perimetro dei Controlli di servizio VPC.
Problemi di Cloud Build
L'utilizzo delle risorse Cloud Build all'interno di un perimetro dei Controlli di servizio VPC presenta alcuni limiti noti. Per ulteriori informazioni, vedi Limitazioni di utilizzo Controlli di servizio VPC con Cloud Build.
Account di servizio Cloud Build bloccato per l'accesso alle risorse protette
Cloud Build utilizza l'account di servizio Cloud Build per eseguire le build per tuo conto. Per impostazione predefinita, quando esegui una build su Cloud Build, la build viene eseguita in un progetto tenant esterno al tuo progetto.
Le VM worker di Cloud Build che generano gli output di compilazione non rientrano nel perimetro di VPC Service Controls, anche se il progetto è al suo interno. Quindi, per fare in modo che le tue build accedano alle risorse all'interno del perimetro, devi concedere all'account di servizio Cloud Build l'accesso Perimetro dei Controlli di servizio VPC aggiungendolo all'accesso o regola in entrata.
Per ulteriori informazioni, consulta la pagina relativa alla concessione dell'accesso all'account di servizio Cloud Build ai Controlli di servizio VPC perimetrale.
Problemi di Cloud Storage
Negazioni quando si sceglie come target un bucket Cloud Storage di logging inesistente
Se il bucket di logging specificato non esiste, i Controlli di servizio VPC negano
accesso con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Puoi esaminare il log del rifiuto di accesso utilizzando l'identificatore univoco dei Controlli di servizio VPC (vpcServiceControlUniqueIdentifier). Di seguito è riportato un log di esempio con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:
"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
"violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
...
"egressViolations": [
{
"sourceType": "Resource",
"targetResource": "projects/0/buckets/this-bucket-does-not-exist",
"source": "projects/325183452875/buckets/bucket-in-same-project",
"servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
}]}
Se il campo targetResource nell'oggetto egressViolations mostra un target
con projects/0/buckets, questo attiva sempre un rifiuto come projects/0
non esiste ed è considerato al di fuori del perimetro di servizio.
Rifiuti di accesso ai bucket Cloud Storage pubblici di proprietà di Google
Un perimetro di servizio non può contenere progetti di organizzazioni diverse. R Il perimetro può contenere solo progetti dell'organizzazione principale. Esistono ad alcune limitazioni di accesso ai bucket Cloud Storage di progetti all'interno di un perimetro dei Controlli di servizio VPC che si trova in un dell'organizzazione.
Un esempio tipico è quando vuoi accedere a Cloud Storage di proprietà di Google
bucket. Poiché il tuo progetto e quello di proprietà di Google che contiene
bucket di destinazione non si trovano nello stesso perimetro, Controlli di servizio VPC negano
con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Per risolvere il problema, puoi creare regole di traffico in entrata e in uscita.
Accesso a un bucket Cloud Storage accessibile pubblicamente da un perimetro
Se stai tentando di accedere a un bucket Cloud Storage accessibile pubblicamente da un perimetro di servizio, Controlli di servizio VPC potrebbe bloccare le tue richieste generando una violazione di uscita.
Per garantire un accesso coerente e riuscito all'oggetto in base alle esigenze, deve applicare una regola di traffico in uscita al perimetro di servizio interessato.
Problemi di Security Command Center
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Security Command Center all'interno di un perimetro Controlli di servizio VPC.
Impossibile inviare notifiche da Security Command Center a Pub/Sub
Il tentativo di pubblicare notifiche di Security Command Center in un argomento Pub/Sub all'interno di un perimetro di Controlli di servizio VPC non va a buon fine con una violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Ti consigliamo di attivare Security Command Center a livello di organizzazione. Controlli di servizio VPC non considera un'organizzazione principale come parte del perimetro dei suoi progetti secondari. Affinché questa operazione funzioni, devi concedere l'accesso al perimetro a Security Command Center.
Come soluzione alternativa, puoi procedere in uno dei seguenti modi:
- Utilizzare un argomento Pub/Sub in un progetto che non si trova in un perimetro di servizio.
- Rimuovi l'API Pub/Sub dal perimetro di servizio fino al completamento della configurazione della notifica.
Per ulteriori informazioni sull'abilitazione delle notifiche di Security Command Center che sono inviate a un argomento Pub/Sub, consulta Attivazione delle notifiche sui risultati per in Pub/Sub.
Security Command Center non può analizzare le risorse Compute Engine all'interno di un perimetro
Security Command Center analizza le risorse Compute Engine nei tuoi progetti utilizzando
Account di servizio per prodotto e progetto (P4SA)
service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Affinché Security Command Center possa accedere alle risorse all'interno del perimetro, il P4SA deve essere aggiunto al livello di accesso o alla regola di ingresso.
In caso contrario, potresti visualizzare un errore NO_MATCHING_ACCESS_LEVEL.
Security Command Center non è stato in grado di eseguire la scansione delle risorse all'interno di un perimetro di servizio
Security Health Analytics esegue la scansione delle risorse nei tuoi progetti utilizzando l'account di servizio P4SA (per prodotto, per progetto)service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.
Affinché Security Command Center possa accedere alle risorse all'interno del perimetro, l'account P4SA deve essere aggiunto al livello di accesso o alla regola di ingresso. In caso contrario, visualizzerai l'errore NO_MATCHING_ACCESS_LEVEL.
Problemi con Google Kubernetes Engine
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Google Kubernetes Engine all'interno di un perimetro di Controlli di servizio VPC.
Il gestore della scalabilità automatica non funziona nei perimetri con servizi accessibili e servizi con limitazioni abilitati
autoscaling.googleapis.com non è integrato con i Controlli di servizio VPC, pertanto non può essere aggiunto ai servizi con limitazioni né ai servizi accessibili. Non è possibile consentire
API autoscaling.googleapis.com nei servizi accessibili. Pertanto,
gestore della scalabilità automatica dei cluster che esistono in un perimetro con
e accessibili potrebbero non funzionare.
Sconsigliamo di utilizzare servizi accessibili. Quando utilizzi un IP virtuale (VIP) soggetto a restrizioni, fai un'eccezione per autoscaling.googleapis.com per passare a un VIP privato in un perimetro che contiene un cluster con la scalabilità automatica.
Problemi con BigQuery
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse BigQuery all'interno di un perimetro di Controlli di servizio VPC.
Le restrizioni per il perimetro dei Controlli di servizio VPC non si applicano all'esportazione dei risultati delle query di BigQuery
Se stai tentando di limitare l'esportazione di dati protetti da da BigQuery a Google Drive, Fogli Google o Looker Studio, potrebbero verificarsi alcune deviazioni dal comportamento previsto. Quando esegui una query nella UI di BigQuery, i risultati vengono archiviati nella memoria locale della macchina, come la cache del browser. Ciò significa che i risultati ora non sono più inclusi in VPC Service Controls, quindi puoi eventualmente salvarli in un file CSV o su Google Drive.
In questo scenario, i Controlli di servizio VPC funzionano come previsto poiché il risultato viene esportato dalla macchina locale che si trova al di fuori del perimetro di servizio, viene aggirata la restrizione generale dei dati BigQuery.
Per risolvere il problema, limita le autorizzazioni IAM per gli utenti rimuovendo l'autorizzazione bigquery.tables.export. Tieni presente che questa operazione disattiva
tutte le opzioni di esportazione.
Problemi relativi a GKE Enterprise
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo Risorse GKE Enterprise all'interno di Controlli di servizio VPC perimetrale.
Per risolvere i problemi relativi all'utilizzo di Controlli di servizio VPC con Cloud Service Mesh, consulta Risolvere i problemi di Controlli di servizio VPC per Cloud Service Mesh gestito.
La configurazione di Config Controller di GKE Enterprise genera una violazione di uscita
Il processo di configurazione di GKE Enterprise Config Controller dovrebbe
falliranno se non esiste una configurazione in uscita che consenta di raggiungere
containerregistry.googleapis.com con il metodo
google.containers.registry.read in un progetto al di fuori del perimetro.
Per risolvere questo errore, crea la seguente regola in uscita:
From:
Identities:ANY_IDENTITY
To:
Projects =
NNNNNNNNNNNN
Service =
Service name: containerregistry.googleapis.com
Service methods:
containers.registry.read
La violazione in uscita scompare dopo aver aggiunto la regola al perimetro violato.
Problemi di Container Registry
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Container Registry all'interno di un perimetro di Controlli di servizio VPC.
Richieste dell'API Container Registry bloccate da Controlli di servizio VPC nonostante siano consentite in una regola di traffico in entrata o in uscita
Se hai consentito l'accesso a Container Registry utilizzando regole in entrata con
Campo identity_type impostato su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, accesso
è bloccato dai Controlli di servizio VPC.
Per risolvere il problema, aggiorna il campo identity_type in ANY_IDENTITY nell'elenco
in entrata o in uscita.
Errori di esportazione da un agente di servizio durante la copia dell'immagine Docker di proprietà di Artifact Registry in un progetto in un perimetro
Quando provi a copiare nel tuo progetto un'immagine di proprietà di Artifact Registry,
all'interno di un perimetro dei Controlli di servizio VPC, potresti riscontrare errori in uscita
nei log dall'agente di servizio
cloud-cicd-artifact-registry-copier@system.gserviceaccount.com. Questo
errore di uscita si verifica in genere quando il criterio del perimetro è in modalità di prova.
Puoi risolvere questo problema creando una regola in uscita che consenta al servizio
accesso dell'agente cloud-cicd-artifact-registry-copier@system.gserviceaccount.com
al servizio storage.googleapis.com nel progetto menzionato nel
Log degli errori dei Controlli di servizio VPC.
Problemi relativi a Vertex AI
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Vertex AI all'interno di un perimetro Controlli di servizio VPC.
Richieste API blocchi note gestiti dall'utente bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita
Se hai consentito l'accesso all'API Notebooks gestita dall'utente
utilizzando un criterio di ingresso e hai impostato identity_type
su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, Controlli di servizio VPC blocca
l'accesso all'API.
Per risolvere il problema, aggiorna il campo identity_type in ANY_IDENTITY nella regola di entrata o di uscita.
Problemi di Spanner
Il backup del database Spanner è bloccato dalla violazione NO_MATCHING_ACCESS_LEVEL
dell'account di servizio per prodotto e progetto (P4SA)
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com.
Per risolvere il problema, aggiungi una regola in entrata con l'agente di servizio sopra indicato o aggiungerlo a un livello di accesso.
Passaggi successivi
- Scopri le limitazioni note dell'utilizzo di Controlli di servizio VPC con vari servizi Google Cloud.
- Scopri come l'identificatore univoco di Controlli di servizio VPC aiuta a risolvere i problemi sui perimetri di servizio.