使用 VPC Service Controls 问题排查工具进行问题诊断

本页面介绍如何使用 VPC Service Controls 问题排查工具来了解和诊断 VPC Service Controls 记录的问题。

VPC Service Controls 日志包含有关对受保护资源的请求的详细信息,以及 VPC Service Controls 拒绝该请求的原因。但是,这些详细信息有时并不明显,您可能需要花大量时间去理解日志。安全管理员可以使用 VPC Service Controls 问题排查工具诊断来自服务边界的拒绝。

您还可以使用问题排查工具诊断来自使用试运行配置的服务边界的拒绝。

问题排查工具可帮助诊断以下类型的违规:

Violation 说明
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 审核记录的 resourceNames 字段中列出的项目不在同一服务边界内。
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 与审核记录的 callerNetworkresourceNames 字段对应的项目不在同一服务边界内。
NO_MATCHING_ACCESS_LEVEL

IP 地址、设备要求或用户身份与分配给边界的任何入站流量规则访问权限级别都不匹配。例如,与审核记录的 callerIp 字段对应的 IP 地址与服务边界的访问权限级别中定义的任何 CIDR 范围都不匹配。

如果调用方 IP 地址缺失或者看似内部 IP 地址,则此违规可能是未与 VPC Service Controls 集成的 Google Cloud 服务造成的。Google Cloud 服务尝试访问受保护服务,并且如预期一样失败。

SERVICE_NOT_ALLOWED_FROM_VPC 服务边界的 VPC 可访问服务配置可阻止从服务边界内的网络访问服务。

准备工作

如需排查 VPC Service Controls 违规问题,请确保您拥有 VPC Service Controls Troubleshooter Viewer IAM 角色 (roles/accesscontextmanager.vpcScTroubleshooterViewer)。此角色不允许您修改边界或访问权限级别。

访问 VPC Service Controls 问题排查工具

问题排查工具只能在 Google Cloud 控制台中使用。您可以使用日志浏览器或 VPC Service Controls 页面访问问题排查工具。

使用日志浏览器

使用日志浏览器,您可以直接从 VPC Service Controls 被拒问题的日志条目转到问题排查工具。

如需从日志条目访问问题排查工具,请执行以下操作:

  1. 转到 Google Cloud 控制台中的日志浏览器页面。

    转到日志浏览器

  2. 在日志查看器中,使用被拒问题的唯一 ID 来访问日志条目

  3. 查询结果框中,在要排查的被拒问题所在的行中,点击 VPC Service Controls,然后点击排查被拒问题

使用 VPC Service Controls 页面

VPC Service Controls 页面中,您可以使用唯一 ID 排查被拒问题。

准备工作:

如需从 VPC Service Controls 页面访问问题排查工具,请执行以下操作:

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls

  2. 如果收到提示,请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。

  3. VPC Service Controls 页面中,点击问题排查

  4. VPC Service Controls 问题排查工具页面的唯一标识符框中,输入您要排查的被拒问题的唯一 ID。

  5. 点击问题排查

后续步骤