使用 VPC Service Controls 问题排查工具

VPC Service Controls 日志条目通常包含有关对受保护服务的请求被拒的数据,例如请求的资源以及访问遭拒的原因。但是,这些详细信息有时并不明显,并且可能需要用户花大量时间了解日志。VPC Service Controls 问题排查工具可帮助安全管理员更好地了解由 VPC Service Controls 引起的被拒并对其进行问题排查。目前,VPC Service Controls 问题排查工具可帮助诊断三种类型的违规:

违规
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 审核记录的 resourceNames 字段中列出的项目不在同一服务边界内。
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 与审核记录的 callerNetworkresourceNames 字段对应的项目不在同一服务边界内。
NO_MATCHING_ACCESS_LEVEL

通常,与审核记录的 callerIp 字段对应的 IP 地址与服务边界的访问权限级别中定义的任何 CIDR 范围都不匹配。

如果调用方 IP 地址缺失或者看起来是专用 IP 地址,则此违规可能是尚未与 VPC Service Controls 集成的 Google Cloud 服务尝试访问受保护的服务并失败。

Beta 版的限制

VPC Service Controls 问题排查工具 Beta 版存在以下限制。

  • 虽然 VPC Service Controls 问题排查工具支持 3 个最常见的 VPC Service Controls 错误,但 Beta 版无法涵盖所有错误。目前无法使用 VPC Service Controls 问题排查工具检查以下错误:

    • SERVICE_NOT_ALLOWED_FROM_VPC
  • 并非所有与 VPC Service Controls 相关的错误都拥有唯一 ID。如果错误没有唯一 ID,则无法使用 VPC Service Controls 问题排查工具进行检查。

访问控制

要允许用户排查 VPC Service Controls 违规,您可以分配 VPC Service Controls Troubleshooter View 角色。此角色不允许用户更改边界或访问权限级别。

访问 VPC Service Controls 问题排查工具

VPC Service Controls 问题排查工具只能在 Google Cloud Console 中使用。访问 VPC Service Controls 问题排查工具的方法有两种。

使用日志查看器(预览版)

使用日志查看器(预览版),您可以直接从 VPC Service Controls 被拒事件的日志条目转到 VPC Service Controls 问题排查工具。

要从日志条目访问 VPC Service Controls 问题排查工具,请执行以下操作:

  1. 在日志查看器(预览版)中,使用被拒事件的唯一 ID 来访问日志条目

  2. 查询结果框中,在要排查的被拒问题所在的行中,点击 VPC Service Controls,然后点击排查被拒问题

使用 VPC Service Controls 页面

VPC Service Controls 页面中,您可以使用项目路径和唯一 ID 排查被拒问题。

准备工作:

要从 VPC Service Controls 页面访问 VPC Service Controls 问题排查工具,请执行以下操作:

  1. 在 Google Cloud Console 导航菜单中,点击安全,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 如果收到提示,请选择您的组织。 只能在组织级层访问 VPC Service Controls 页面。

  3. VPC Service Controls 页面顶部,点击问题排查

  4. VPC Service Controls 问题排查工具页面的唯一标识符框中,输入您要排查的被拒问题的唯一 ID。

  5. 项目资源路径框中,点击浏览,然后选择导致被拒的项目。

  6. 点击排查问题