Google Cloud - закрытый доступ к Google не работает
Мы пытаемся запустить Packer из GCP VPC.
Мы отключили внешние IP-адреса для всех экземпляров по соображениям безопасности.
Чтобы получить доступ к API Google, мы настроили Private Google Access и проверили его работу следующим образом:
$ traceroute -T -p 443 www.googleapis.com
traceroute to www.googleapis.com (199.36.153.4), 30 hops max, 44 byte packets
1 gateway (172.17.0.1) 0.081 ms 0.017 ms 0.016 ms
2 199.36.153.4 (199.36.153.4) 3.949 ms 3.942 ms 4.992 ms
Теперь в экземпляре, когда мы запускаем, мы не можем получить доступ к облачным изображениям Google с помощью API Google, он не работает с:
<p><b>404.</b> <ins>That’s an error.</ins>
<p>The requested URL <code>/batch/compute/v1</code> was not found on this server.
<ins>That’s all we know.</ins>
Означает ли это, что наша установка в чем-то неверна? Может ли кто-нибудь сказать мне, как правильно проверить, работает ли частный доступ?
Оказалось, что есть два документа, которые, по-видимому, говорят об одном и том же - Private Google Access, а один касается VPC Service Control (о котором мы понятия не имеем, поскольку мы не на уровне организации)
Все, что мы необходимо удалить DNS, указывающий на limited.googleapis.com, и проблема решена.
Во-первых, убедитесь, что вы выполнили все шаги, описанные в нашем общедоступном документе для Настройка частного подключения к службам GCP из сети VPC .
Чтобы ограничить частный доступ к Google в пределах периметра службы только VPC Service Controls поддерживает API и сервисы Google, ваша виртуальная машина экземпляры должны отправлять запросы на ограниченный.googleapis.com вместо * .googleapis.com.
Хост ограниченный.googleapis.com действует как прокси. Ваш запрос должен содержать заголовок для исходного API, к которому вы пытаетесь обратиться.
Далее, обратите внимание, что поддержка VPC Service Controls для Compute Engine позволяет вам использовать сети VPC внутри периметра услуг. Но есть ограничения, такие как, вы не можете защитить Compute Engine API с помощью периметра службы.
Попытка получить доступ к API, который не поддерживается службой VPC VIP с ограниченным доступом к элементам управления приведет к ошибке 404.
Полученная ошибка ожидается для служб, которые не поддерживаются элементами управления службами VPC и недоступны на ограниченном VIP. Поэтому убедитесь, что API, который вы пытаетесь вызвать, является частью служб , поддерживаемых VPC Service Controls . Если это так, то вам следует проверить известные ограничения службы и неподдерживаемый сервис с ограниченным VIP , чтобы узнать, является ли это известным ограничением. В противном случае о проблеме следует сообщить.
Public Issue Tracker - это инструмент и идеальный форум для сообщения о проблемах, подобных этой, касающихся конфигурации или поведения сервисов и продуктов Google Cloud Platform. Это позволяет вам взаимодействовать с экспертами, а иногда и с инженерами, создавшими продукт. Узнайте больше об этом здесь . Вы можете даже использовать его, чтобы сообщить об этой проблеме , если вы все еще сталкиваетесь с препятствиями.
Ответ Сэмюэля верен. Что касается наблюдения за Compute Engine API, это тоже верно - оно не поддерживается в VPC Service Control.
На той же странице, на которой вы обнаружили ограничения Compute Engine, есть инструкция по использованию изображений .
Вы должны добавить пользователя к уровню доступа для периметра.