Questa pagina fornisce soluzioni ai problemi che potresti riscontrare quando utilizzi un Servizio Google Cloud all'interno di un perimetro dei Controlli di servizio VPC.
Problemi di Cloud Build
L'utilizzo delle risorse Cloud Build all'interno di un perimetro dei Controlli di servizio VPC alcune limitazioni note. Per ulteriori informazioni, vedi Limitazioni di utilizzo Controlli di servizio VPC con Cloud Build.
Account di servizio Cloud Build a cui è bloccato l'accesso alle risorse protette
Cloud Build utilizza l'account di servizio Cloud Build per eseguire le build per conto tuo. Per impostazione predefinita, quando esegui una build su Cloud Build viene eseguito in un progetto tenant esterno al progetto.
Le VM worker di Cloud Build che generano output di build sono al di fuori il perimetro dei Controlli di servizio VPC, anche se il progetto si trova all'interno perimetrale. Quindi, per fare in modo che le tue build accedano alle risorse all'interno del perimetro, devi concedere all'account di servizio Cloud Build l'accesso Perimetro dei Controlli di servizio VPC aggiungendolo all'accesso o regola in entrata.
Per ulteriori informazioni, consulta la pagina relativa alla concessione dell'accesso all'account di servizio Cloud Build ai Controlli di servizio VPC perimetrale.
Problemi di Cloud Storage
Negazioni quando si sceglie come target un bucket Cloud Storage di logging inesistente
Se il bucket di logging specificato non esiste, i Controlli di servizio VPC negano
accesso con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
.
Puoi esaminare il log degli accessi negati di accesso utilizzando i Controlli di servizio VPC
Identificatore univoco (vpcServiceControlUniqueIdentifier
). Di seguito è riportato un
log di esempio con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
:
"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
"violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
...
"egressViolations": [
{
"sourceType": "Resource",
"targetResource": "projects/0/buckets/this-bucket-does-not-exist",
"source": "projects/325183452875/buckets/bucket-in-same-project",
"servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
}]}
Se il campo targetResource
nell'oggetto egressViolations
mostra un target
con projects/0/buckets
, questo attiva sempre un rifiuto come projects/0
non esiste ed è considerato al di fuori del perimetro di servizio.
Negazioni durante l'accesso ai bucket Cloud Storage pubblici di proprietà di Google
Un perimetro di servizio non può contenere progetti di organizzazioni diverse. R il perimetro può contenere solo progetti dell'organizzazione principale. Esistono ad alcune limitazioni di accesso ai bucket Cloud Storage di progetti all'interno di un perimetro dei Controlli di servizio VPC che si trova in un dell'organizzazione.
Un esempio tipico è quando vuoi accedere a Cloud Storage di proprietà di Google
bucket. Poiché il tuo progetto e quello di proprietà di Google che contiene
bucket di destinazione non si trovano nello stesso perimetro, Controlli di servizio VPC negano
con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
.
Per risolvere il problema, puoi creare regole di traffico in entrata e in uscita.
Accesso a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro
Se stai tentando di accedere a un bucket Cloud Storage accessibile pubblicamente da all'interno di un perimetro di servizio, i Controlli di servizio VPC potrebbero bloccare le tue richieste generando una violazione in uscita.
Per garantire un accesso coerente e riuscito all'oggetto in base alle esigenze, deve applicare una regola di traffico in uscita al perimetro di servizio interessato.
Problemi di Security Command Center
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Security Command Center all'interno di un perimetro Controlli di servizio VPC.
Security Command Center non può inviare notifiche a Pub/Sub
Tentativo di pubblicare notifiche di Security Command Center in un Pub/Sub
all'interno di un perimetro Controlli di servizio VPC ha un errore
Violazione per RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
.
Ti consigliamo di attivare Security Command Center a livello di organizzazione. Controlli di servizio VPC non considera un'organizzazione padre come parte del proprio dei progetti figlio perimetrale. Affinché funzioni, devi concedere l'accesso perimetrale a Security Command Center.
Come soluzione alternativa, puoi procedere in uno dei seguenti modi:
- Utilizza un argomento Pub/Sub in un progetto che non si trova in un servizio perimetrale.
- Rimuovi l'API Pub/Sub dal perimetro di servizio fino alla configurazione notifiche completata.
Per ulteriori informazioni sull'abilitazione delle notifiche di Security Command Center che sono inviate a un argomento Pub/Sub, consulta Attivazione delle notifiche sui risultati per in Pub/Sub.
Security Command Center non può analizzare le risorse Compute Engine all'interno di un perimetro
Security Command Center analizza le risorse Compute Engine nei tuoi progetti utilizzando
Account di servizio per prodotto e progetto (P4SA)
service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com
. Nel
per consentire a Security Command Center di accedere alle risorse all'interno del perimetro,
devi aggiungere P4SA al livello di accesso o alla regola in entrata.
In caso contrario, potresti visualizzare un errore NO_MATCHING_ACCESS_LEVEL
.
Security Command Center non può analizzare le risorse all'interno di un perimetro di servizio
Security Health Analytics scansiona le risorse nei tuoi progetti utilizzando il protocollo P4SA (per prodotto,
account di servizio per progetto)
service-org-
ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Affinché Security Command Center sia in grado di accedere alle risorse all'interno
l'account P4SA deve essere aggiunto al livello di accesso o al traffico
personalizzata. In caso contrario, visualizzerai l'errore NO_MATCHING_ACCESS_LEVEL
.
Problemi con Google Kubernetes Engine
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Google Kubernetes Engine all'interno di un perimetro Controlli di servizio VPC.
Il gestore della scalabilità automatica non funziona nei perimetri in cui sono abilitati servizi accessibili e servizi limitati
autoscaling.googleapis.com
non è integrato con
Controlli di servizio VPC, pertanto non può essere aggiunto ai servizi limitati
né ai servizi accessibili. Non è possibile consentire
API autoscaling.googleapis.com
nei servizi accessibili. Pertanto,
gestore della scalabilità automatica dei cluster che esistono in un perimetro con
e accessibili potrebbero non funzionare.
Sconsigliamo di utilizzare servizi accessibili. Quando utilizzi un IP virtuale limitato
(VIP), imposta un'eccezione per autoscaling.googleapis.com
per passare al VIP privato
in un perimetro che contiene un cluster con scalabilità automatica.
Problemi con BigQuery
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di BigQuery all'interno di un perimetro Controlli di servizio VPC.
Le restrizioni per il perimetro dei Controlli di servizio VPC non si applicano all'esportazione dei risultati delle query di BigQuery
Se stai tentando di limitare l'esportazione di dati protetti da da BigQuery a Google Drive, Fogli Google o Looker Studio, potrebbero verificarsi alcune deviazioni dal comportamento previsto. Quando esegui una query nella UI di BigQuery, i risultati vengono archiviati nella memoria locale della macchina, come la cache del browser. Ciò significa che i risultati sono al di fuori Controlli di servizio VPC, per salvare i risultati in un file CSV oppure Google Drive.
In questo scenario, i Controlli di servizio VPC funzionano come previsto poiché il risultato viene esportato dalla macchina locale che si trova al di fuori del perimetro di servizio, viene aggirata la restrizione generale dei dati BigQuery.
Per risolvere il problema, limita le autorizzazioni IAM per gli utenti in base al
rimuovendo l'autorizzazione bigquery.tables.export
. Tieni presente che questa operazione disattiva
tutte le opzioni di esportazione.
Problemi di GKE Enterprise
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo Risorse GKE Enterprise all'interno di Controlli di servizio VPC perimetrale.
Per risolvere gli errori relativi all'utilizzo dei Controlli di servizio VPC con Cloud Service Mesh, consulta Risolvere i problemi dei Controlli di servizio VPC per Cloud Service Mesh.
La configurazione di GKE Enterprise Config Controller genera una violazione del traffico in uscita
Il processo di configurazione di GKE Enterprise Config Controller dovrebbe
falliranno se non esiste una configurazione in uscita che consenta di raggiungere
containerregistry.googleapis.com
con il metodo
google.containers.registry.read
in un progetto esterno al perimetro.
Per risolvere questo errore, crea la seguente regola in uscita:
From:
Identities:ANY_IDENTITY
To:
Projects =
NNNNNNNNNNNN
Service =
Service name: containerregistry.googleapis.com
Service methods:
containers.registry.read
La violazione in uscita scompare dopo che hai aggiunto la regola all'account violato perimetrale.
Problemi di Container Registry
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Container Registry all'interno di un perimetro Controlli di servizio VPC.
Richieste API Container Registry bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita
Se hai consentito l'accesso a Container Registry utilizzando regole in entrata con
Campo identity_type
impostato su ANY_USER_ACCOUNT
o ANY_SERVICE_ACCOUNT
, accesso
è bloccato dai Controlli di servizio VPC.
Per risolvere il problema, aggiorna il campo identity_type
in ANY_IDENTITY
nell'elenco
in entrata o in uscita.
Errori in uscita da un agente di servizio durante la copia dell'immagine Docker di proprietà di Artifact Registry in un progetto in un perimetro
Quando provi a copiare nel tuo progetto un'immagine di proprietà di Artifact Registry,
all'interno di un perimetro dei Controlli di servizio VPC, potresti riscontrare errori in uscita
nei log dall'agente di servizio
cloud-cicd-artifact-registry-copier@system.gserviceaccount.com
. Questo traffico in uscita
di solito si verifica quando il criterio di perimetro è in modalità dry run.
Puoi risolvere questo problema creando una regola in uscita che consenta al servizio
accesso dell'agente cloud-cicd-artifact-registry-copier@system.gserviceaccount.com
al servizio storage.googleapis.com
nel progetto menzionato nel
Log degli errori dei Controlli di servizio VPC.
Problemi relativi a Vertex AI
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Vertex AI all'interno di un perimetro Controlli di servizio VPC.
Richieste API blocchi note gestiti dall'utente bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita
Se hai consentito l'accesso all'API User-managed Notebooks
utilizzando un criterio in entrata e hai impostato identity_type
come ANY_USER_ACCOUNT
o ANY_SERVICE_ACCOUNT
, i blocchi Controlli di servizio VPC
l'accesso all'API.
Per risolvere il problema, aggiorna il campo identity_type
in ANY_IDENTITY
nell'elenco
in entrata o in uscita.
Problemi relativi a Spanner
Il backup del database Spanner è bloccato da NO_MATCHING_ACCESS_LEVEL
violazione dell'account di servizio per prodotto e progetto (P4SA)
service-
PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
,
Per risolvere il problema, aggiungi una regola in entrata con l'agente di servizio sopra indicato o aggiungerlo a un livello di accesso.
Passaggi successivi
- Scopri di più sulle limitazioni note dell'utilizzo dei Controlli di servizio VPC con vari servizi Google Cloud Google Cloud.
- Scopri come l'identificatore univoco di Controlli di servizio VPC aiuta a risolvere i problemi sui perimetri di servizio.