Memecahkan masalah umum Kontrol Layanan VPC pada layanan Google Cloud

Halaman ini memberikan solusi untuk masalah yang mungkin Anda alami saat menggunakan layanan Google Cloud yang berada dalam perimeter Kontrol Layanan VPC.

Masalah Cloud Build

Penggunaan resource Cloud Build dalam perimeter Kontrol Layanan VPC memiliki beberapa batasan umum. Untuk mengetahui informasi selengkapnya, lihat Batasan penggunaan Kontrol Layanan VPC dengan Cloud Build.

Akun layanan Cloud Build diblokir agar tidak mengakses resource yang dilindungi

Cloud Build menggunakan akun layanan Cloud Build untuk menjalankan build atas nama Anda. Secara default, saat Anda menjalankan build di Cloud Build, build tersebut akan berjalan di project tenant di luar project Anda.

VM pekerja Cloud Build yang menghasilkan output build berada di luar perimeter Kontrol Layanan VPC, meskipun project Anda berada di dalam perimeter. Oleh karena itu, agar build Anda dapat mengakses resource di dalam perimeter, Anda harus memberi akun layanan Cloud Build akses ke perimeter Kontrol Layanan VPC dengan menambahkannya ke level akses atau aturan masuk.

Untuk mengetahui informasi selengkapnya, lihat Memberi akun layanan Cloud Build akses ke perimeter Kontrol Layanan VPC.

Masalah Cloud Storage

Penolakan saat menargetkan bucket Cloud Storage logging yang tidak ada

Jika bucket logging yang ditentukan tidak ada, Kontrol Layanan VPC akan menolak akses dengan alasan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Anda dapat meninjau log penolakan akses menggunakan ID Unik Kontrol Layanan VPC (vpcServiceControlUniqueIdentifier). Berikut ini contoh log dengan alasan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:

"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
  "violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
  ...
  "egressViolations": [
    {
      "sourceType": "Resource",
      "targetResource": "projects/0/buckets/this-bucket-does-not-exist",
      "source": "projects/325183452875/buckets/bucket-in-same-project",
      "servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
    }]}

Jika kolom targetResource di objek egressViolations menampilkan target dengan projects/0/buckets, kolom ini akan selalu memicu penolakan karena projects/0 tidak ada dan dianggap berada di luar perimeter layanan.

Penolakan saat mengakses bucket Cloud Storage publik milik Google

Perimeter layanan tidak boleh berisi project dari organisasi yang berbeda. Perimeter hanya dapat berisi project dari organisasi induknya. Ada batasan tertentu saat Anda ingin mengakses bucket Cloud Storage dari project dalam perimeter Kontrol Layanan VPC yang berada di organisasi berbeda.

Contoh umumnya adalah ketika Anda ingin mengakses bucket Cloud Storage milik Google. Karena project Anda dan project milik Google yang berisi bucket target tidak berada dalam perimeter yang sama, Kontrol Layanan VPC menolak permintaan dengan alasan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Untuk mengatasi masalah ini, Anda dapat membuat aturan masuk dan keluar.

Mengakses bucket Cloud Storage yang dapat diakses secara publik dari dalam perimeter

Jika Anda mencoba mengakses bucket Cloud Storage yang dapat diakses secara publik dari dalam perimeter layanan, Kontrol Layanan VPC mungkin memblokir permintaan Anda dengan melakukan pelanggaran traffic keluar.

Untuk memastikan keberhasilan akses yang konsisten ke objek sesuai kebutuhan, kita harus menerapkan aturan traffic keluar ke perimeter layanan yang terpengaruh.

Masalah pada Security Command Center

Bagian ini mencantumkan masalah yang mungkin Anda alami saat menggunakan resource Security Command Center yang berada di dalam perimeter Kontrol Layanan VPC.

Security Command Center diblokir agar tidak mengirim notifikasi ke Pub/Sub

Percobaan publikasi notifikasi Security Command Center ke topik Pub/Sub di dalam perimeter Kontrol Layanan VPC gagal dengan pelanggaran RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Sebaiknya aktifkan Security Command Center di tingkat organisasi. Kontrol Layanan VPC tidak menganggap organisasi induk sebagai bagian dari perimeter project turunannya. Agar hal ini berfungsi, Anda harus memberikan akses perimeter ke Security Command Center.

Sebagai solusinya, Anda dapat melakukan salah satu tindakan berikut:

• Menggunakan topik Pub/Sub dalam project yang tidak ada dalam perimeter layanan.
• Hapus Pub/Sub API dari perimeter layanan sampai penyiapan notifikasi selesai.

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan notifikasi Security Command Center yang dikirim ke topik Pub/Sub, baca artikel Mengaktifkan notifikasi penemuan untuk Pub/Sub.

Security Command Center diblokir agar tidak dapat memindai resource Compute Engine di dalam perimeter

Security Command Center memindai resource Compute Engine dalam project Anda menggunakan akun layanan per produk (P4SA) service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Agar Security Command Center dapat mengakses resource di dalam perimeter, P4SA perlu ditambahkan ke level akses atau aturan ingress Anda. Jika tidak, Anda mungkin akan melihat error NO_MATCHING_ACCESS_LEVEL.

Security Command Center diblokir agar tidak memindai resource di dalam perimeter layanan

Security Health Analytics memindai resource dalam project Anda menggunakan P4SA (per produk, akun layanan per project) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Agar Security Command Center dapat mengakses resource di dalam perimeter, akun P4SA perlu ditambahkan ke aturan tingkat akses atau ingress Anda. Jika tidak, Anda akan melihat error NO_MATCHING_ACCESS_LEVEL.

Masalah Google Kubernetes Engine

Bagian ini mencantumkan masalah yang mungkin Anda alami saat menggunakan resource Google Kubernetes Engine yang ada di dalam perimeter Kontrol Layanan VPC.

Autoscaler tidak berfungsi di perimeter dengan layanan yang dapat diakses dan layanan yang dibatasi diaktifkan

autoscaling.googleapis.com tidak terintegrasi dengan Kontrol Layanan VPC, sehingga tidak dapat ditambahkan ke layanan yang dibatasi baik ke layanan yang dapat diakses. Anda tidak dapat mengizinkan autoscaling.googleapis.com API dalam layanan yang dapat diakses. Oleh karena itu, autoscaler cluster yang ada dalam perimeter dengan layanan yang dapat diakses aktif mungkin tidak berfungsi.

Sebaiknya jangan gunakan layanan yang dapat diakses. Saat menggunakan IP Virtual yang dibatasi (VIP), buat pengecualian untuk autoscaling.googleapis.com guna membuka VIP Pribadi dalam perimeter yang berisi cluster dengan penskalaan otomatis.

Masalah BigQuery

Bagian ini mencantumkan masalah yang mungkin Anda alami saat menggunakan resource BigQuery yang berada di dalam perimeter Kontrol Layanan VPC.

Pembatasan perimeter Kontrol Layanan VPC tidak berlaku untuk ekspor hasil kueri BigQuery

Jika Anda mencoba membatasi ekspor data yang dilindungi dari BigQuery ke Google Drive, Google Spreadsheet, atau Looker Studio, Anda mungkin melihat beberapa penyimpangan dari perilaku yang diharapkan. Saat Anda menjalankan kueri dari UI BigQuery, hasilnya disimpan dalam memori lokal mesin Anda, seperti cache browser. Artinya, hasilnya kini berada di luar Kontrol Layanan VPC, sehingga Anda mungkin dapat menyimpan hasilnya ke file CSV atau ke Google Drive.

Dalam skenario ini, Kontrol Layanan VPC berfungsi sebagaimana mestinya karena hasilnya diekspor dari mesin lokal yang berada di luar perimeter layanan, tetapi batasan keseluruhan data BigQuery sedang diakali.

Untuk mengatasi masalah ini, batasi izin IAM untuk pengguna dengan menghapus izin bigquery.tables.export. Perlu diperhatikan bahwa tindakan ini akan menonaktifkan semua opsi ekspor.

Masalah GKE Enterprise

Bagian ini mencantumkan masalah yang mungkin Anda alami saat menggunakan resource GKE Enterprise yang berada di dalam perimeter Kontrol Layanan VPC.

Untuk memecahkan masalah error terkait penggunaan Kontrol Layanan VPC dengan Anthos Service Mesh, lihat Memecahkan masalah Kontrol Layanan VPC untuk Anthos Service Mesh terkelola.

Penyiapan Pengontrol GKE Enterprise Config melakukan pelanggaran traffic keluar

Proses penyiapan GKE Enterprise Config Controller diperkirakan akan gagal jika tidak ada konfigurasi traffic keluar yang memungkinkan untuk mencapai containerregistry.googleapis.com dengan metode google.containers.registry.read dalam sebuah project di luar perimeter.

Untuk mengatasi error ini, buat aturan traffic keluar berikut:

From:
  Identities:ANY_IDENTITY
To:
  Projects =
    NNNNNNNNNNNN
  Service =
  Service name: containerregistry.googleapis.com
  Service methods:
    containers.registry.read

Pelanggaran traffic keluar akan hilang setelah Anda menambahkan aturan ke perimeter yang dilanggar.

Masalah Container Registry

Bagian ini mencantumkan masalah yang mungkin Anda alami saat menggunakan resource Container Registry yang berada di dalam perimeter Kontrol Layanan VPC.

Permintaan Container Registry API diblokir oleh Kontrol Layanan VPC meskipun diizinkan dalam aturan masuk atau keluar

Jika Anda telah mengizinkan akses ke Container Registry menggunakan aturan ingress dengan kolom identity_type yang ditetapkan ke ANY_USER_ACCOUNT atau ANY_SERVICE_ACCOUNT, akses akan diblokir oleh Kontrol Layanan VPC.

Untuk mengatasi masalah ini, perbarui kolom identity_type menjadi ANY_IDENTITY di aturan masuk atau keluar.

Error keluar dari akun layanan yang dikelola Google saat menyalin image Docker milik Artifact Registry ke project di perimeter

Saat mencoba menyalin image milik Artifact Registry ke project yang berada dalam perimeter Kontrol Layanan VPC, Anda mungkin mengalami error traffic keluar dalam log dari cloud-cicd-artifact-registry-copier@system.gserviceaccount.com akun layanan yang dikelola Google. Error traffic keluar ini biasanya terjadi saat kebijakan perimeter berada dalam mode uji coba.

Anda dapat mengatasi masalah ini dengan membuat aturan traffic keluar yang mengizinkan akun layanan cloud-cicd-artifact-registry-copier@system.gserviceaccount.com mengakses layanan storage.googleapis.com dalam project yang disebutkan dalam log error Kontrol Layanan VPC.

Masalah Vertex AI

Bagian ini mencantumkan masalah yang mungkin Anda temui saat menggunakan resource Vertex AI yang berada di dalam perimeter Kontrol Layanan VPC.

Permintaan API notebook yang dikelola pengguna diblokir oleh Kontrol Layanan VPC meskipun diizinkan dalam aturan masuk atau keluar

Jika Anda telah mengizinkan akses ke API notebook yang dikelola pengguna menggunakan kebijakan ingress dan telah menetapkan identity_type sebagai ANY_USER_ACCOUNT atau ANY_SERVICE_ACCOUNT, Kontrol Layanan VPC akan memblokir akses ke API tersebut.

Untuk mengatasi masalah ini, perbarui kolom identity_type menjadi ANY_IDENTITY di aturan masuk atau keluar.

Masalah Spanner

Pencadangan database Spanner diblokir oleh pelanggaran NO_MATCHING_ACCESS_LEVEL dari akun layanan per produk, per project (P4SA) service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com.

Untuk mengatasi masalah ini, tambahkan aturan masuk dengan agen layanan yang disebutkan di atas atau tambahkan ke tingkat akses.

Langkah selanjutnya

• Pelajari batasan umum penggunaan Kontrol Layanan VPC dengan berbagai layanan Google Cloud.
• Pelajari cara ID unik Kontrol Layanan VPC membantu memecahkan masalah yang terkait dengan perimeter layanan.