En esta página, se describe cómo encontrar errores de los Controles del servicio de VPC mediante Cloud Logging.
Los Controles del servicio de VPC mitigan los riesgos de robo de datos mediante el aislamiento servicios multiusuario de Google Cloud. Para obtener más información, consulta Descripción general de Controles del servicio de VPC
Determina si hay un error debido a los Controles del servicio de VPC
Los Controles del servicio de VPC pueden modificar las propiedades de Google Cloud y tener efectos en cascada en todos los servicios. Esto puede dificultar la depuración en especial si no sabes qué buscar.
Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en se propagan y tienen efecto. Cuando se propaguen los cambios, el acceso a los servicios restringidos en el perímetro no podrá cruzar el límite del perímetro, a menos que se autorice de forma explícita.
Para determinar si un error está relacionado con los Controles del servicio de VPC, verifica si habilitaste los Controles del servicio de VPC y los aplicaste a los proyectos servicios que intentas usar. Para verificar si los proyectos y servicios están protegidas por Controles del servicio de VPC, verifica en ese nivel de jerarquía de recursos.
Considera una situación de ejemplo en la que usas indirectamente un servicio que está marcado como servicio restringido por los Controles del servicio de VPC en un proyecto que está dentro de un perímetro de servicio. En ese caso, los Controles del servicio de VPC podrían deniega el acceso.
Por lo general, los servicios propagarán mensajes de error de sus dependencias. Si encuentras uno de los siguientes errores, significa que hay un problema con los Controles del servicio de VPC.
Cloud Storage:
403: Request violates VPC Service Controls.BigQuery:
403: VPC Service Controls: Request is prohibited by organization's policy.Otros servicios:
403: Request is prohibited by organization's policy.
Usa el ID único del error
A diferencia de la consola de Google Cloud, la herramienta de línea de comandos de gcloud devuelve un ID único para
Errores de los Controles del servicio de VPC. Para ubicar entradas de registro de otros errores, filtra las
los registros con metadatos.
Los errores que generan los Controles del servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría relevantes.
Para obtener información sobre un error con el ID único, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cloud Logging de dentro del perímetro de servicio que activó el error.
En el campo de filtro de búsqueda, ingresa el ID único del error.
Puedes ver la entrada de registro relevante.
Filtra registros mediante metadatos
Puedes usar el Explorador de registros para buscar errores relacionados con los Controles del servicio de VPC. Puedes usar el lenguaje de consulta de Logging. para recuperar los registros. Para obtener información sobre la creación de consultas, visita consultas con el lenguaje de consulta de Logging.
Console
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC en Logging, haz lo siguiente:
En la consola de Google Cloud, ve a la página de Cloud Logging.
Asegúrate de estar en el proyecto que está dentro del servicio perímetro de servicio.
En el campo de filtros de búsqueda, ingresa lo siguiente:
protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"En el menú Recurso, selecciona Recurso auditado.
En el menú del selector de rango de tiempo, selecciona Últimas 24 horas.
Opcional: Para encontrar los errores de los Controles del servicio de VPC que se produjeron durante un período diferente, usa el menú Selector de intervalo de tiempo.
gcloud
Para obtener las últimas 24 horas de errores de los Controles del servicio de VPC, ejecuta el siguiente comando: siguiente comando:
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'De forma predeterminada, el comando
readestá limitado a las últimas 24 horas. Para obtener los registros de los Controles del servicio de VPC durante un período diferente, usa uno de los siguientes comandos:Para recuperar los registros que se generaron dentro de un período determinado desde el actual, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=DURATIONDURATION es un período con formato. Más información sobre el formato; consulta los formatos de duración y hora relativos para gcloud CLI.
Para recuperar todos los errores de los Controles del servicio de VPC que se produjeron en la semana anterior, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \ --freshness=7dPara recuperar los registros que se generaron entre fechas específicas, ejecuta el siguiente comando:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="START_DATETIME" AND timestamp<="END_DATETIME"'Tienen formato START_DATETIME y END_DATETIME. date y time. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos de la CLI de gcloud.
Por ejemplo, para obtener todos los errores de los Controles del servicio de VPC que se produjeron entre el 22 y el 26 de marzo de 2019, ejecuta lo siguiente:
gcloud logging read \ 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND timestamp>="2019-03-22T23:59:59Z" AND timestamp<="2019-03-26T00:00:00Z"'
¿Qué sigue?
- Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
- Soluciona problemas comunes de los Controles del servicio de VPC
- Soluciona problemas comunes relacionados con otros servicios de Google Cloud