Diese Seite wurde von der Cloud Translation API übersetzt.

Häufige Probleme mit VPC Service Controls bei Google Cloud-Diensten beheben

Auf dieser Seite finden Sie Lösungen für Probleme, die bei der Verwendung eines Google Cloud-Dienstes in einem VPC Service Controls-Perimeter auftreten können.

Cloud Build-Probleme

Die Verwendung von Cloud Build-Ressourcen innerhalb eines VPC Service Controls-Perimeters ist mit einigen bekannten Einschränkungen verbunden. Weitere Informationen finden Sie unter Einschränkungen bei der Verwendung von VPC Service Controls mit Cloud Build.

Cloud Build-Dienstkonto für den Zugriff auf geschützte Ressourcen blockiert

Cloud Build verwendet das Cloud Build-Dienstkonto, um Builds für Sie auszuführen. Wenn Sie einen Build in Cloud Build ausführen, wird er standardmäßig in einem Mandantenprojekt außerhalb Ihres Projekts ausgeführt.

Die Worker-VMs von Cloud Build, die Build-Ausgaben generieren, befinden sich außerhalb des VPC Service Controls-Perimeters, auch wenn sich Ihr Projekt innerhalb des Perimeters befindet. Damit Ihre Builds auf Ressourcen innerhalb des Perimeters zugreifen können, müssen Sie dem Cloud Build-Dienstkonto Zugriff auf den Perimeter der VPC Service Controls gewähren. Fügen Sie es dazu entweder der Zugriffsebene oder der Regel für eingehenden Traffic hinzu.

Weitere Informationen finden Sie unter Dem Cloud Build-Dienstkonto Zugriff auf den Perimeter der VPC Service Controls gewähren.

Cloud Storage-Probleme

Abweisungen bei Ausrichtung auf einen nicht vorhandenen Cloud Storage-Bucket für Logging

Wenn der angegebene Logging-Bucket nicht vorhanden ist, wird der Zugriff von VPC Service Controls mit dem Verstoßgrund RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER abgelehnt.

Sie können das Log der Zugriffsverweigerung anhand der eindeutigen Kennung (vpcServiceControlUniqueIdentifier) von VPC Service Controls prüfen. Im Folgenden finden Sie ein Beispiel-Log mit dem Grund für den Verstoß RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:

"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
  "violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
  ...
  "egressViolations": [
    {
      "sourceType": "Resource",
      "targetResource": "projects/0/buckets/this-bucket-does-not-exist",
      "source": "projects/325183452875/buckets/bucket-in-same-project",
      "servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
    }]}

Wenn das Feld targetResource im Objekt egressViolations ein Ziel mit projects/0/buckets enthält, wird immer eine Ablehnung ausgelöst, da projects/0 nicht existiert und als außerhalb des Dienstperimeters betrachtet wird.

Abweisungen beim Zugriff auf öffentliche Cloud Storage-Buckets von Google

Ein Dienstperimeter kann keine Projekte aus verschiedenen Organisationen enthalten. Ein Perimeter kann nur Projekte aus der übergeordneten Organisation enthalten. Wenn Sie von Projekten innerhalb eines VPC Service Controls-Perimeters, der sich in einer anderen Organisation befindet, auf Cloud Storage-Buckets zugreifen möchten, gelten bestimmte Einschränkungen.

Ein typisches Beispiel ist der Zugriff auf Cloud Storage-Buckets, die Google gehören. Da sich Ihr Projekt und das zu Google gehörende Projekt, das den Ziel-Bucket enthält, nicht im selben Perimeter befinden, wird die Anfrage von VPC Service Controls mit dem Verstoßgrund RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER abgelehnt.

Sie können Regeln für eingehenden und ausgehenden Traffic erstellen, um dieses Problem zu beheben.

Auf einen öffentlich zugänglichen Cloud Storage-Bucket innerhalb eines Perimeters zugreifen

Wenn Sie versuchen, innerhalb eines Dienstperimeters auf einen öffentlich zugänglichen Cloud Storage-Bucket zuzugreifen, blockieren VPC Service Controls Ihre Anfragen möglicherweise, indem eine Ausgehende-Traffic-Verletzung auftritt.

Um einen reibungslosen Zugriff auf das Objekt nach Bedarf zu ermöglichen, sollten wir eine Regel für ausgehenden Traffic auf den betroffenen Dienstperimeter anwenden.

Probleme mit dem Security Command Center

In diesem Abschnitt werden die Probleme aufgeführt, die bei der Verwendung von Security Command Center-Ressourcen innerhalb eines VPC Service Controls-Perimeters auftreten können.

Security Command Center kann keine Benachrichtigung an Pub/Sub senden

Der Versuch, Security Command Center-Benachrichtigungen in einem Pub/Sub-Thema innerhalb eines VPC Service Controls-Perimeters zu veröffentlichen, schlägt mit einem RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER-Verstoß fehl.

Wir empfehlen, Security Command Center auf Organisationsebene zu aktivieren. Eine übergeordnete Organisation wird von VPC Service Controls nicht als Teil des Perimeter der untergeordneten Projekte betrachtet. Damit dies funktioniert, müssen Sie dem Security Command Center Perimeterzugriff gewähren.

Sie haben folgende Möglichkeiten:

Verwenden Sie ein Pub/Sub-Thema in einem Projekt, das sich nicht in einem Dienstperimeter befindet.
Entfernen Sie die Pub/Sub API aus dem Dienstperimeter, bis die Einrichtung der Benachrichtigungen abgeschlossen ist.

Weitere Informationen zum Aktivieren von Security Command Center-Benachrichtigungen, die an ein Pub/Sub-Thema gesendet werden, finden Sie unter Ergebnisbenachrichtigungen für Pub/Sub aktivieren.

Security Command Center kann keine Compute Engine-Ressourcen innerhalb eines Perimeters scannen

Security Command Center scannt Compute Engine-Ressourcen in Ihren Projekten mit dem P4SA (Produkt- und Projektdienstkonto) service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Damit Security Command Center auf Ressourcen innerhalb des Perimeters zugreifen kann, muss die P4SA Ihrer Zugriffsebene oder Ingress-Regel hinzugefügt werden. Andernfalls wird möglicherweise ein NO_MATCHING_ACCESS_LEVEL-Fehler angezeigt.

Security Command Center kann keine Ressourcen innerhalb eines Dienstperimeters scannen

Security Health Analytics scannt Ressourcen in Ihren Projekten mit dem P4SA (Produkt- und Projektdienstkonto) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Damit Security Command Center auf Ressourcen innerhalb des Perimeters zugreifen kann, muss das P4SA-Konto Ihrer Zugriffsebene oder Ingress-Regel hinzugefügt werden. Andernfalls wird der Fehler NO_MATCHING_ACCESS_LEVEL angezeigt.

Probleme mit der Google Kubernetes Engine

In diesem Abschnitt werden die Probleme aufgeführt, die bei der Verwendung von Google Kubernetes Engine-Ressourcen innerhalb eines VPC Service Controls-Perimeters auftreten können.

Autoscaler funktioniert in Perimetern mit zugänglichen Diensten und eingeschränkten Diensten nicht

autoscaling.googleapis.com ist nicht in VPC Service Controls eingebunden und kann daher weder den eingeschränkten Diensten noch den zugänglichen Diensten hinzugefügt werden. Die autoscaling.googleapis.com API kann nicht für barrierefreie Dienste zugelassen werden. Daher funktioniert die Autoscaling-Funktion von Clustern, die sich in einem Perimeter befinden, in dem zugängliche Dienste aktiviert sind, möglicherweise nicht.

Wir empfehlen, keine barrierefreien Dienste zu verwenden. Wenn Sie eine eingeschränkte virtuelle IP-Adresse (VIP) verwenden, machen Sie eine Ausnahme für autoscaling.googleapis.com, damit eine Verbindung zu einer privaten VIP in einem Perimeter hergestellt wird, der einen Cluster mit automatischer Skalierung enthält.

BigQuery-Probleme

In diesem Abschnitt werden die Probleme aufgeführt, die bei der Verwendung von BigQuery-Ressourcen innerhalb eines VPC Service Controls-Perimeters auftreten können.

Einschränkungen für VPC Service Controls-Perimeter gelten nicht für den Export von BigQuery-Abfrageergebnissen

Wenn Sie versuchen, den Export geschützter Daten aus BigQuery in Google Drive, Google Tabellen oder Looker Studio einzuschränken, kann es zu Abweichungen vom erwarteten Verhalten kommen. Wenn Sie eine Abfrage über die BigQuery-Benutzeroberfläche ausführen, werden die Ergebnisse im lokalen Arbeitsspeicher Ihres Computers gespeichert, z. B. im Browsercache. Das bedeutet, dass die Ergebnisse jetzt außerhalb von VPC Service Controls liegen. Sie können sie also in einer CSV-Datei oder in Google Drive speichern.

In diesem Szenario funktionieren VPC Service Controls wie vorgesehen, da das Ergebnis von einem lokalen Computer exportiert wird, der sich außerhalb des Dienstperimeters befindet. Die allgemeine Einschränkung von BigQuery-Daten wird jedoch umgangen.

Beheben Sie dieses Problem, indem Sie die IAM-Berechtigung bigquery.tables.export entfernen. Dadurch werden alle Exportoptionen deaktiviert.

Probleme mit GKE Enterprise

In diesem Abschnitt werden Probleme aufgeführt, die bei der Verwendung von GKE Enterprise-Ressourcen in einem VPC Service Controls-Perimeter auftreten können.

Informationen zur Fehlerbehebung bei der Verwendung von VPC Service Controls mit Cloud Service Mesh finden Sie unter Fehlerbehebung bei VPC Service Controls für verwaltetes Cloud Service Mesh.

Die Einrichtung des GKE Enterprise-Konfigurationscontrollers führt zu einem Verstoß gegen die ausgehenden Zugriffsregeln

Die Einrichtung des GKE Enterprise Config Controllers schlägt voraussichtlich fehl, wenn es keine ausgehende Konfiguration gibt, mit der containerregistry.googleapis.com mit der Methode google.containers.registry.read in einem Projekt außerhalb des Perimeter erreicht werden kann.

Um diesen Fehler zu beheben, erstellen Sie die folgende Ausgehende Regel:

From:
  Identities:ANY_IDENTITY
To:
  Projects =
    NNNNNNNNNNNN
  Service =
  Service name: containerregistry.googleapis.com
  Service methods:
    containers.registry.read

Die Ausgehendes-Verstoß-Benachrichtigung verschwindet, nachdem Sie die Regel dem betroffenen Perimeter hinzugefügt haben.

Container Registry-Probleme

In diesem Abschnitt werden die Probleme aufgeführt, die bei der Verwendung von Container Registry-Ressourcen in einem VPC Service Controls-Perimeter auftreten können.

Container Registry API-Anfragen, die von VPC Service Controls blockiert werden, obwohl sie in einer Regel für eingehenden oder ausgehenden Traffic zugelassen sind

Wenn Sie den Zugriff auf die Container Registry mithilfe von Ingress-Regeln zugelassen haben, bei denen das Feld identity_type auf ANY_USER_ACCOUNT oder ANY_SERVICE_ACCOUNT festgelegt ist, wird der Zugriff von VPC Service Controls blockiert.

Aktualisieren Sie das Feld identity_type in der Ingress- oder Egress-Regel auf ANY_IDENTITY, um dieses Problem zu beheben.

Fehler beim Senden von Daten von einem Dienst-Agenten beim Kopieren eines Docker-Images von Artifact Registry in ein Projekt in einem Perimeter

Wenn Sie versuchen, ein Image von Artifact Registry in Ihr Projekt zu kopieren, das sich in einem VPC Service Controls-Perimeter befindet, treten möglicherweise Fehler beim Datenausgang in den Logs des Dienst-Agents cloud-cicd-artifact-registry-copier@system.gserviceaccount.com auf. Dieser Fehler tritt in der Regel auf, wenn die Perimeterrichtlinie im Modus „Probelauf“ ist.

Sie können dieses Problem beheben, indem Sie eine Regel für ausgehenden Traffic erstellen, die dem Dienstmitarbeiter cloud-cicd-artifact-registry-copier@system.gserviceaccount.com Zugriff auf den Dienst storage.googleapis.com im Projekt gewährt, das in den VPC Service Controls-Fehlerprotokollen erwähnt wird.

Vertex AI-Probleme

In diesem Abschnitt werden die Probleme aufgeführt, die bei der Verwendung von Vertex AI-Ressourcen in einem VPC Service Controls-Perimeter auftreten können.

Von VPC Service Controls blockierte API-Anfragen für nutzerverwaltete Notebooks, die in einer Regel für ein- oder ausgehenden Traffic zugelassen sind

Wenn Sie den Zugriff auf die API für nutzerverwaltete Notebooks mithilfe einer Zugriffsrichtlinie zugelassen und identity_type auf ANY_USER_ACCOUNT oder ANY_SERVICE_ACCOUNT festgelegt haben, blockiert VPC Service Controls den Zugriff auf die API.