Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvere i problemi comuni dei Controlli di servizio VPC con i servizi Google Cloud

Questa pagina fornisce soluzioni ai problemi che potresti riscontrare quando utilizzi un Servizio Google Cloud all'interno di un perimetro dei Controlli di servizio VPC.

Problemi di Cloud Build

L'utilizzo delle risorse Cloud Build all'interno di un perimetro dei Controlli di servizio VPC alcune limitazioni note. Per ulteriori informazioni, vedi Limitazioni di utilizzo Controlli di servizio VPC con Cloud Build.

Account di servizio Cloud Build a cui è bloccato l'accesso alle risorse protette

Cloud Build utilizza l'account di servizio Cloud Build per eseguire le build per conto tuo. Per impostazione predefinita, quando esegui una build su Cloud Build viene eseguito in un progetto tenant esterno al progetto.

Le VM worker di Cloud Build che generano output di build sono al di fuori il perimetro dei Controlli di servizio VPC, anche se il progetto si trova all'interno perimetrale. Quindi, per fare in modo che le tue build accedano alle risorse all'interno del perimetro, devi concedere all'account di servizio Cloud Build l'accesso Perimetro dei Controlli di servizio VPC aggiungendolo all'accesso o regola in entrata.

Per ulteriori informazioni, consulta la pagina relativa alla concessione dell'accesso all'account di servizio Cloud Build ai Controlli di servizio VPC perimetrale.

Problemi di Cloud Storage

Negazioni quando si sceglie come target un bucket Cloud Storage di logging inesistente

Se il bucket di logging specificato non esiste, i Controlli di servizio VPC negano accesso con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Puoi esaminare il log degli accessi negati di accesso utilizzando i Controlli di servizio VPC Identificatore univoco (vpcServiceControlUniqueIdentifier). Di seguito è riportato un log di esempio con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:

"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
  "violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
  ...
  "egressViolations": [
    {
      "sourceType": "Resource",
      "targetResource": "projects/0/buckets/this-bucket-does-not-exist",
      "source": "projects/325183452875/buckets/bucket-in-same-project",
      "servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
    }]}

Se il campo targetResource nell'oggetto egressViolations mostra un target con projects/0/buckets, questo attiva sempre un rifiuto come projects/0 non esiste ed è considerato al di fuori del perimetro di servizio.

Negazioni durante l'accesso ai bucket Cloud Storage pubblici di proprietà di Google

Un perimetro di servizio non può contenere progetti di organizzazioni diverse. R il perimetro può contenere solo progetti dell'organizzazione principale. Esistono ad alcune limitazioni di accesso ai bucket Cloud Storage di progetti all'interno di un perimetro dei Controlli di servizio VPC che si trova in un dell'organizzazione.

Un esempio tipico è quando vuoi accedere a Cloud Storage di proprietà di Google bucket. Poiché il tuo progetto e quello di proprietà di Google che contiene bucket di destinazione non si trovano nello stesso perimetro, Controlli di servizio VPC negano con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Per risolvere il problema, puoi creare regole di traffico in entrata e in uscita.

Accesso a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro

Se stai tentando di accedere a un bucket Cloud Storage accessibile pubblicamente da all'interno di un perimetro di servizio, i Controlli di servizio VPC potrebbero bloccare le tue richieste generando una violazione in uscita.

Per garantire un accesso coerente e riuscito all'oggetto in base alle esigenze, deve applicare una regola di traffico in uscita al perimetro di servizio interessato.

Problemi di Security Command Center

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Security Command Center all'interno di un perimetro Controlli di servizio VPC.

Security Command Center non può inviare notifiche a Pub/Sub

Tentativo di pubblicare notifiche di Security Command Center in un Pub/Sub all'interno di un perimetro Controlli di servizio VPC ha un errore Violazione per RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Ti consigliamo di attivare Security Command Center a livello di organizzazione. Controlli di servizio VPC non considera un'organizzazione padre come parte del proprio dei progetti figlio perimetrale. Affinché funzioni, devi concedere l'accesso perimetrale a Security Command Center.

Come soluzione alternativa, puoi procedere in uno dei seguenti modi:

Utilizza un argomento Pub/Sub in un progetto che non si trova in un servizio perimetrale.
Rimuovi l'API Pub/Sub dal perimetro di servizio fino alla configurazione notifiche completata.

Per ulteriori informazioni sull'abilitazione delle notifiche di Security Command Center che sono inviate a un argomento Pub/Sub, consulta Attivazione delle notifiche sui risultati per in Pub/Sub.

Security Command Center non può analizzare le risorse Compute Engine all'interno di un perimetro

Security Command Center analizza le risorse Compute Engine nei tuoi progetti utilizzando Account di servizio per prodotto e progetto (P4SA) service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Nel per consentire a Security Command Center di accedere alle risorse all'interno del perimetro, devi aggiungere P4SA al livello di accesso o alla regola in entrata. In caso contrario, potresti visualizzare un errore NO_MATCHING_ACCESS_LEVEL.

Security Command Center non può analizzare le risorse all'interno di un perimetro di servizio

Security Health Analytics scansiona le risorse nei tuoi progetti utilizzando il protocollo P4SA (per prodotto, account di servizio per progetto) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com Affinché Security Command Center sia in grado di accedere alle risorse all'interno l'account P4SA deve essere aggiunto al livello di accesso o al traffico personalizzata. In caso contrario, visualizzerai l'errore NO_MATCHING_ACCESS_LEVEL.

Problemi con Google Kubernetes Engine

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Google Kubernetes Engine all'interno di un perimetro Controlli di servizio VPC.

Il gestore della scalabilità automatica non funziona nei perimetri in cui sono abilitati servizi accessibili e servizi limitati

autoscaling.googleapis.com non è integrato con Controlli di servizio VPC, pertanto non può essere aggiunto ai servizi limitati né ai servizi accessibili. Non è possibile consentire API autoscaling.googleapis.com nei servizi accessibili. Pertanto, gestore della scalabilità automatica dei cluster che esistono in un perimetro con e accessibili potrebbero non funzionare.

Sconsigliamo di utilizzare servizi accessibili. Quando utilizzi un IP virtuale limitato (VIP), imposta un'eccezione per autoscaling.googleapis.com per passare al VIP privato in un perimetro che contiene un cluster con scalabilità automatica.

Problemi con BigQuery

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di BigQuery all'interno di un perimetro Controlli di servizio VPC.

Le restrizioni per il perimetro dei Controlli di servizio VPC non si applicano all'esportazione dei risultati delle query di BigQuery

Se stai tentando di limitare l'esportazione di dati protetti da da BigQuery a Google Drive, Fogli Google o Looker Studio, potrebbero verificarsi alcune deviazioni dal comportamento previsto. Quando esegui una query nella UI di BigQuery, i risultati vengono archiviati nella memoria locale della macchina, come la cache del browser. Ciò significa che i risultati sono al di fuori Controlli di servizio VPC, per salvare i risultati in un file CSV oppure Google Drive.

In questo scenario, i Controlli di servizio VPC funzionano come previsto poiché il risultato viene esportato dalla macchina locale che si trova al di fuori del perimetro di servizio, viene aggirata la restrizione generale dei dati BigQuery.

Per risolvere il problema, limita le autorizzazioni IAM per gli utenti in base al rimuovendo l'autorizzazione bigquery.tables.export. Tieni presente che questa operazione disattiva tutte le opzioni di esportazione.

Problemi di GKE Enterprise

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo Risorse GKE Enterprise all'interno di Controlli di servizio VPC perimetrale.

Per risolvere gli errori relativi all'utilizzo dei Controlli di servizio VPC con Cloud Service Mesh, consulta Risolvere i problemi dei Controlli di servizio VPC per Cloud Service Mesh.

La configurazione di GKE Enterprise Config Controller genera una violazione del traffico in uscita

Il processo di configurazione di GKE Enterprise Config Controller dovrebbe falliranno se non esiste una configurazione in uscita che consenta di raggiungere containerregistry.googleapis.com con il metodo google.containers.registry.read in un progetto esterno al perimetro.

Per risolvere questo errore, crea la seguente regola in uscita:

From:
  Identities:ANY_IDENTITY
To:
  Projects =
    NNNNNNNNNNNN
  Service =
  Service name: containerregistry.googleapis.com
  Service methods:
    containers.registry.read

La violazione in uscita scompare dopo che hai aggiunto la regola all'account violato perimetrale.

Problemi di Container Registry

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Container Registry all'interno di un perimetro Controlli di servizio VPC.

Richieste API Container Registry bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita

Se hai consentito l'accesso a Container Registry utilizzando regole in entrata con Campo identity_type impostato su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, accesso è bloccato dai Controlli di servizio VPC.

Per risolvere il problema, aggiorna il campo identity_type in ANY_IDENTITY nell'elenco in entrata o in uscita.

Errori in uscita da un agente di servizio durante la copia dell'immagine Docker di proprietà di Artifact Registry in un progetto in un perimetro

Quando provi a copiare nel tuo progetto un'immagine di proprietà di Artifact Registry, all'interno di un perimetro dei Controlli di servizio VPC, potresti riscontrare errori in uscita nei log dall'agente di servizio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com. Questo traffico in uscita di solito si verifica quando il criterio di perimetro è in modalità dry run.

Puoi risolvere questo problema creando una regola in uscita che consenta al servizio accesso dell'agente cloud-cicd-artifact-registry-copier@system.gserviceaccount.com al servizio storage.googleapis.com nel progetto menzionato nel Log degli errori dei Controlli di servizio VPC.

Problemi relativi a Vertex AI

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo di Vertex AI all'interno di un perimetro Controlli di servizio VPC.

Richieste API blocchi note gestiti dall'utente bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita

Se hai consentito l'accesso all'API User-managed Notebooks utilizzando un criterio in entrata e hai impostato identity_type come ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, i blocchi Controlli di servizio VPC l'accesso all'API.