Мы пытаемся запустить Packer из GCP VPC.
Мы отключили внешние IP-адреса для всех экземпляров из соображений безопасности.
Чтобы иметь доступ к API Google, мы настроили Частный доступ к Google и подтвердил, что он работает следующим образом:
$ traceroute -T -p 443 www.googleapis.com
traceroute to www.googleapis.com (199.36.153.4), 30 hops max, 44 byte packets
1 gateway (172.17.0.1) 0.081 ms 0.017 ms 0.016 ms
2 199.36.153.4 (199.36.153.4) 3.949 ms 3.942 ms 4.992 ms
Теперь внутри экземпляра, когда мы запускаем, мы не можем получить доступ к изображениям облака Google с помощью API Google, он не работает с:
<p><b>404.</b> <ins>That’s an error.</ins>
<p>The requested URL <code>/batch/compute/v1</code> was not found on this server.
<ins>That’s all we know.</ins>
Означает ли это, что наша установка в чем-то неверна? Может ли кто-нибудь сказать мне, как правильно проверить, работает ли частный доступ?
Во-первых, убедитесь, что вы выполнили все шаги, описанные в нашем общедоступном документе для Настройка частного подключения к сервисам GCP из сети VPC.
Чтобы ограничить частный доступ Google в пределах периметра службы только элементами управления службами VPC, поддерживаемыми API и службами Google, ваши экземпляры виртуальных машин должны отправлять запросы на ограниченный.googleapis.com вместо * .googleapis.com.
Хост limited.googleapis.com действует как прокси. Ваш запрос должен содержать заголовок для исходного API, к которому вы пытаетесь обратиться.
Следующий, Обратите внимание, что поддержка VPC Service Controls для Compute Engine позволяет использовать сети VPC внутри периметра обслуживания. Но есть ограничения, такие как, вы не можете защитить Compute Engine API с помощью периметра службы.
Попытка получить доступ к API, который не поддерживается ограниченным VIP-адресом VPC Service Controls, приведет к ошибке 404.
Полученная ошибка ожидается для служб, которые не поддерживаются VPC Service Controls и недоступны на ограниченном VIP. Поэтому убедитесь, что API, который вы пытаетесь вызвать, является частью сервисы, поддерживаемые VPC Service Controls. Если это так, вам следует проверить известные ограничения службы и неподдерживаемый сервис с ограниченным VIP чтобы узнать, является ли это известным ограничением. В противном случае следует сообщить о проблеме.
В Общедоступный трекер проблем это инструмент и идеальный форум для сообщения о таких проблемах, как эта, касающихся конфигурации или поведения сервисов и продуктов Google Cloud Platform. Это позволяет вам взаимодействовать с экспертами, а иногда и с инженерами, создавшими продукт. Узнай больше об этом Вот. Возможно, вы даже захотите использовать его для сообщить об этой проблеме если вы все еще сталкиваетесь с препятствиями.
Оказалось, что есть два документа, которые, по-видимому, говорят об одном и том же - Private Google Access, а один - о VPC Service Control (о котором мы понятия не имеем, поскольку мы не на уровне организации)
Все, что нам нужно было сделать, это удалить DNS, который указывает Restricted.googleapis.com, и проблема решена.
Ответ Самуэля верен. Что касается наблюдения за Compute Engine API, это тоже верно - оно не поддерживается в VPC Service Control.
На той же странице вы обнаружили ограничения Compute Engine, есть инструкция, как использовать изображений.
Вам следует добавить пользователя на уровень доступа по периметру.