VPC 서비스 제어 문제 해결 도구를 사용하여 문제 진단

이 페이지에서는 VPC 서비스 제어 문제 해결 도구를 사용하여 VPC 서비스 제어가 로깅하는 문제를 이해하고 진단하는 방법을 설명합니다.

VPC 서비스 제어 로그에는 보호된 리소스에 대한 요청 및 VPC 서비스 제어가 요청을 거부한 이유에 대한 세부정보가 포함됩니다. 하지만 이러한 세부정보는 항상 명확하지 않을 수 있으며 로그를 이해하는 데 상당한 시간이 걸릴 수 있습니다. 보안 관리자는 VPC 서비스 제어 문제 해결 도구를 사용하여 서비스 경계의 거부를 진단할 수 있습니다.

또한 문제 해결 도구를 사용하여 테스트 실행 구성을 사용하는 서비스 경계에서 거부를 진단할 수 있습니다.

문제 해결 도구는 다음 유형의 위반을 진단하는 데 도움이 됩니다.

위반 설명
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 감사 레코드의 resourceNames 필드에 나열된 프로젝트가 동일한 서비스 경계에 없습니다.
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 감사 레코드의 callerNetworkresourceNames 필드에 해당하는 프로젝트는 동일한 서비스 경계에 있지 않습니다.
NO_MATCHING_ACCESS_LEVEL

IP 주소, 기기 요구사항 또는 사용자 ID가 경계에 할당된 인그레스 규칙이나 액세스 수준과 일치하지 않습니다. 예를 들어 감사 레코드의 callerIp 필드에 해당하는 IP 주소가 서비스 경계의 액세스 수준에 정의된 CIDR 범위와 일치하지 않습니다.

호출자 IP 주소가 없거나 내부 IP 주소로 간주되는 경우 이 위반은 VPC 서비스 제어와 통합되지 않은 Google Cloud 서비스 때문일 수 있습니다. Google Cloud 서비스가 보호 서비스에 액세스하려고 시도하며 예상대로 실패합니다.

SERVICE_NOT_ALLOWED_FROM_VPC 서비스 경계의 VPC 액세스 가능 서비스 구성은 서비스 경계 내 네트워크에서의 서비스에 대한 액세스를 방지합니다.

시작하기 전에

VPC 서비스 제어 위반 문제를 해결하려면 VPC 서비스 제어 문제 해결 도구 뷰어 IAM 역할(roles/accesscontextmanager.vpcScTroubleshooterViewer)이 있는지 확인하세요. 이 역할을 통해 경계 또는 액세스 수준을 수정할 수 없습니다.

VPC 서비스 제어 문제 해결 도구에 액세스

문제 해결 도구는 Google Cloud 콘솔에서만 사용할 수 있습니다. 로그 탐색기 또는 VPC 서비스 제어 페이지를 사용하여 문제 해결 도구에 액세스할 수 있습니다.

로그 탐색기 사용

로그 탐색기를 사용하여 VPC 서비스 제어 거부 로그 항목에서 문제 해결 도구로 직접 이동할 수 있습니다.

로그 항목에서 문제 해결 도구에 액세스하려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. 로그 탐색기에서 거부의 고유 ID를 사용하여 로그 항목에 액세스합니다.

  3. 쿼리 결과 상자 내의 문제를 해결하고자 하는 거부 행에서 VPC 서비스 제어를 클릭한 다음 거부 문제 해결을 클릭합니다.

VPC 서비스 제어 페이지 사용

VPC 서비스 제어 페이지에서 프로젝트 고유 ID를 사용하여 거부 문제를 해결할 수 있습니다.

시작하기 전에:

VPC 서비스 제어 페이지에서 문제 해결 도구에 액세스하려면 다음을 수행합니다.

  1. Google Cloud 콘솔 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.

    VPC 서비스 제어로 이동

  2. 메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

  3. VPC 서비스 제어 페이지에서 문제 해결을 클릭합니다.

  4. VPC 서비스 제어 문제 해결 도구 페이지의 고유 ID 상자에 문제 해결에 사용할 고유 ID를 입력합니다.

  5. 문제 해결을 클릭합니다.

다음 단계