יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אחזור שגיאות של VPC Service Controls מיומני ביקורת

בדף הזה מוסבר איך אפשר למצוא שגיאות ב-VPC Service Controls באמצעות Cloud Logging.

‫VPC Service Controls עוזר לצמצם את הסיכונים לזליגת נתונים על ידי בידוד שירותים מרובי-דיירים. Cloud de Confiance by S3NS מידע נוסף זמין במאמר סקירה כללית על VPC Service Controls.

איך בודקים אם שגיאה נובעת מ-VPC Service Controls

VPC Service Controls יכול לשנות את המאפיינים של Cloud de Confiance by S3NS ולהשפיע על שירותים אחרים. לכן קשה לנפות באגים בבעיות, במיוחד אם לא יודעים מה לחפש.

יכול להיות שיחלפו עד 30 דקות עד שהשינויים בגבולות גזרה לשירות יתעדכנו וייכנסו לתוקף. אחרי שהשינויים יתעדכנו, לא תהיה אפשרות לגשת לשירותים שמוגבלים בפרימטר מחוץ לגבולות הפרימטר, אלא אם תהיה הרשאה מפורשת לכך.

כדי לדעת אם שגיאה קשורה ל-VPC Service Controls, צריך לבדוק אם הפעלתם את VPC Service Controls והחלתם אותו על הפרויקטים והשירותים שבהם אתם מנסים להשתמש. כדי לוודא שהפרויקטים והשירותים מוגנים על ידי VPC Service Controls, בודקים את מדיניות VPC Service Controls ברמה הזו של היררכיית המשאבים.

נניח שאתם משתמשים באופן עקיף בשירות שמסומן כשירות מוגבל על ידי VPC Service Controls בפרויקט שנמצא בתוך גבולות גזרה לשירות. במקרה כזה, יכול להיות ש-VPC Service Controls יחסום את הגישה.

בדרך כלל, שירותים מעבירים הודעות שגיאה מהתלות שלהם. אם נתקלתם באחת מהשגיאות הבאות, סימן שיש בעיה ב-VPC Service Controls.

‫Cloud Storage: 403: Request violates VPC Service Controls.
‫BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.
שירותים אחרים: 403: Request is prohibited by organization's policy.

שימוש במזהה הייחודי של השגיאה

בניגוד למסוף Cloud de Confiance , כלי שורת הפקודה gcloud מחזיר מזהה ייחודי לשגיאות ב-VPC Service Controls. כדי לאתר רשומות ביומן שקשורות לשגיאות אחרות, מסננים את היומנים באמצעות מטא-נתונים.

שגיאה שנוצרת על ידי VPC Service Controls כוללת מזהה ייחודי שמשמש לזיהוי יומני ביקורת רלוונטיים.

כדי לקבל מידע על שגיאה באמצעות המזהה הייחודי:

במסוף Cloud de Confiance , נכנסים לדף Cloud Logging של הפרויקט בתוך גבולות גזרה לשירות שהפעיל את השגיאה.

כניסה ל-Cloud Logging
בשדה של מסנן החיפוש, מזינים את המזהה הייחודי של השגיאה.

תוכלו לראות את הרשומה הרלוונטית ביומן.

סינון יומנים באמצעות מטא-נתונים

אתם יכולים להשתמש בLogs Explorer כדי למצוא שגיאות שקשורות ל-VPC Service Controls. אפשר להשתמש בשפת השאילתות של Logging כדי לאחזר את היומנים. מידע על יצירת שאילתות מופיע במאמר יצירת שאילתות באמצעות שפת השאילתות של Logging.

המסוף

כדי לקבל את השגיאות של VPC Service Controls ב-Logging מ-24 השעות האחרונות, מבצעים את הפעולות הבאות:

נכנסים לדף Cloud Logging במסוף Cloud de Confiance .

כניסה ל-Cloud Logging
מוודאים שאתם נמצאים בפרויקט שנמצא בתוך היקף השירות.

בשדה של מסנן החיפוש, מזינים את הפרטים הבאים:

protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

בתפריט Resource בוחרים באפשרות Audited Resource.
בתפריט של בורר טווח הזמן, בוחרים באפשרות 24 השעות האחרונות.
אופציונלי: כדי למצוא את השגיאות ב-VPC Service Controls שהתרחשו בתקופה אחרת, משתמשים בתפריט time-range selector.

gcloud

כדי לקבל את השגיאות של VPC Service Controls מ-24 השעות האחרונות, מריצים את הפקודה הבאה:
```
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
```
כברירת מחדל, הפקודה read מוגבלת ל-24 השעות האחרונות. כדי לקבל יומנים של VPC Service Controls לתקופה אחרת, משתמשים באחת מהפקודות הבאות:
כדי לאחזר יומנים שנוצרו בתקופה מסוימת מהתאריך הנוכחי, מריצים את הפקודה הבאה:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION
```
‫DURATION הוא תקופת זמן מפורמטת. למידע נוסף על פורמטים, אפשר לעיין במאמר בנושא פורמטים של משך זמן יחסי וזמן ב-CLI של gcloud.

כדי לאחזר את כל השגיאות ב-VPC Service Controls שהתרחשו בשבוע האחרון, מריצים את הפקודה הבאה:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

כדי לאחזר יומנים שנוצרו בין תאריכים ספציפיים, מריצים את הפקודה הבאה:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'
```
‫START_DATETIME ו-END_DATETIME הם מחרוזות של תאריך ושעה בפורמט מסוים. למידע נוסף על פורמט, ראו פורמטים של תאריך ושעה מוחלטים ב-CLI של gcloud.

לדוגמה, כדי לקבל את כל השגיאות ב-VPC Service Controls שהתרחשו בין 22 במרץ 2019 ל-26 במרץ 2019:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'
```

המאמרים הבאים

איך מאבחנים דחיית גישה בכלי לניתוח הפרות ואיך צופים בדוח ההערכה המקיף.
אבחון של דחיית גישה וצפייה בדוח הקלאסי
פתרון בעיות נפוצות ב-VPC Service Controls
פתרון בעיות נפוצות שקשורות לשירותים אחרים של Cloud de Confiance by S3NS