Mengonfigurasi Kontrol Layanan VPC untuk Duet AI

Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Duet AI, kolaborator yang didukung AI di Google Cloud. Untuk menyelesaikan konfigurasi ini, lakukan langkah berikut:

  1. Perbarui perimeter layanan organisasi Anda untuk menyertakan Duet AI. Dokumen ini mengasumsikan bahwa Anda sudah memiliki perimeter layanan di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang perimeter layanan, lihat Detail dan konfigurasi perimeter layanan.

  2. Dalam project tempat Anda mengaktifkan akses ke Duet AI, konfigurasikan jaringan VPC untuk memblokir traffic keluar kecuali untuk traffic ke rentang VIP yang dibatasi.

Sebelum memulai

  1. Pastikan Duet AI sudah disiapkan untuk akun pengguna dan project Google Cloud Anda.
  2. Pastikan Anda memiliki peran Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola Kontrol Layanan VPC.

  3. Pastikan Anda memiliki perimeter layanan di tingkat organisasi yang dapat Anda gunakan untuk menyiapkan Duet AI. Jika tidak memiliki perimeter layanan di tingkat ini, Anda dapat membuatnya.

Menambahkan Duet AI ke perimeter layanan Anda

Untuk menggunakan Kontrol Layanan VPC dengan Duet AI, Anda harus menambahkan Duet AI ke perimeter layanan di tingkat organisasi. Perimeter layanan harus mencakup semua layanan yang Anda gunakan dengan Duet AI dan layanan Google Cloud lainnya yang ingin Anda lindungi.

Untuk menambahkan Duet AI ke perimeter layanan Anda, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Pilih organisasi Anda.

  3. Di halaman Kontrol Layanan VPC, klik nama perimeter Anda.

  4. Klik Add Resources dan lakukan hal berikut:

    1. Untuk setiap project tempat Anda mengaktifkan Duet AI, di panel Add resources, klik Add project, lalu lakukan hal berikut:

      1. Dalam dialog Add projects, pilih project yang ingin Anda tambahkan.

        Jika Anda menggunakan VPC Bersama, tambahkan project host dan project layanan ke perimeter layanan.

      2. Klik Tambahkan resource yang dipilih. Project yang ditambahkan akan muncul di bagian Project.

    2. Untuk setiap jaringan VPC dalam project Anda, di panel Add resources, klik Add VPC network, lalu lakukan langkah berikut:

      1. Dari daftar project, klik project yang berisi jaringan VPC.

      2. Dalam dialog Add resources, pilih kotak centang VPC network.

      3. Klik Tambahkan resource yang dipilih. Jaringan yang ditambahkan akan muncul di bagian Jaringan VPC.

  5. Klik Restricted Services dan lakukan hal berikut:

    1. Di panel Restricted Services, klik Add services.

    2. Pada dialog Tentukan layanan yang akan dibatasi, pilih Cloud AI Companion API sebagai layanan yang ingin Anda amankan di dalam perimeter.

    3. Klik Add n services, dengan n adalah jumlah layanan yang Anda pilih pada langkah sebelumnya.

  6. Opsional: Jika developer Anda perlu menggunakan Duet AI dalam perimeter dari plugin Cloud Code di IDE mereka, konfigurasikan kebijakan ingress.

    Pengaktifan Kontrol Layanan VPC untuk Duet AI akan mencegah semua akses dari luar perimeter, termasuk menjalankan ekstensi IDE Cloud Code dari mesin yang tidak berada di perimeter, seperti laptop perusahaan. Oleh karena itu, kebijakan ingress harus dikonfigurasi jika Anda ingin menggunakan Duet AI dengan plugin Cloud Code.

    1. Klik Kebijakan masuk.

    2. Di panel Ingress rules, klik Add rule.

    3. Di bagian From attribute of the API client, tentukan sumber dari luar perimeter yang memerlukan akses. Anda dapat menentukan project, tingkat akses, dan jaringan VPC sebagai sumber.

    4. Di bagian Ke atribut resource/layanan Google Cloud, tentukan nama layanan Duet AI.

      Untuk daftar atribut aturan masuk, lihat Referensi aturan masuk.

  7. Opsional: Jika organisasi Anda menggunakan Access Context Manager dan ingin memberi developer akses ke resource yang dilindungi dari luar perimeter, maka tetapkan tingkat akses:

    1. Klik Tingkat Akses.

    2. Di panel Ingress Policy: Access Levels, pilih kolom Choose Access Level.

    3. Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter.

  8. Klik Simpan.

Setelah Anda menyelesaikan langkah-langkah ini, Kontrol Layanan VPC akan memeriksa semua panggilan ke Cloud AI Companion API untuk memastikan bahwa panggilan tersebut berasal dari dalam perimeter yang sama.

Mengonfigurasi jaringan VPC

Anda perlu mengonfigurasi jaringan VPC agar permintaan yang dikirim ke IP virtual googleapis.com reguler akan otomatis dirutekan ke rentang IP virtual (VIP) terbatas, 199.36.153.4/30 (restricted.googleapis.com), tempat layanan Duet AI Anda dilayani. Anda tidak perlu mengubah konfigurasi apa pun di ekstensi IDE Cloud Code.

Untuk setiap jaringan VPC dalam project Anda, ikuti langkah-langkah berikut untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi:

  1. Aktifkan Akses Google Pribadi di subnet yang menghosting resource jaringan VPC Anda.

  2. Konfigurasi aturan firewall untuk mencegah data keluar dari jaringan VPC.

    1. Buat penolakan akan egress yang memblokir semua traffic keluar.

    2. Buat aturan izinkan keluar yang mengizinkan traffic ke 199.36.153.4/30 pada port TCP 443. Pastikan aturan izinkan traffic keluar memiliki prioritas sebelum aturan penolakan traffic yang baru saja Anda buat. Aturan ini mengizinkan traffic keluar hanya ke rentang VIP yang dibatasi.

  3. Buat kebijakan respons Cloud DNS.

  4. Buat aturan untuk kebijakan respons guna me-resolve *.googleapis.com ke restricted.googleapis.com dengan nilai berikut:

    • Nama DNS: *.googleapis.com.

    • Data lokal: restricted.googleapis.com.

    • Jenis data: A

    • TTL: 300

    • Data RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      Rentang alamat IP untuk restricted.googleapis.com adalah 199.36.153.4/30.

Setelah Anda menyelesaikan langkah-langkah ini, permintaan yang berasal dari dalam jaringan VPC tidak dapat keluar dari jaringan VPC, sehingga mencegah traffic keluar di luar perimeter layanan. Permintaan ini hanya dapat menjangkau Google API dan layanan Google yang memeriksa Kontrol Layanan VPC, sehingga mencegah pemindahan yang tidak sah melalui Google API.

Konfigurasi tambahan

Bergantung pada produk Google Cloud yang Anda gunakan dengan Duet AI, Anda harus mempertimbangkan hal-hal berikut:

  • Mesin klien yang terhubung ke perimeter. Mesin yang berada di dalam perimeter Kontrol Layanan VPC dapat mengakses semua pengalaman Duet AI. Anda juga dapat memperluas perimeter ke Cloud VPN resmi atau Cloud Interconnect dari jaringan eksternal.

  • Komputer klien di luar perimeter. Jika Anda memiliki mesin klien di luar perimeter layanan, Anda dapat memberikan akses terkontrol ke layanan Duet AI yang dibatasi.

  • Duet AI untuk Developer. Untuk mematuhi Kontrol Layanan VPC, pastikan IDE atau workstation yang Anda gunakan tidak memiliki akses ke https://www.google.com/tools/feedback/mobile melalui kebijakan firewall.

  • Workstation Cloud. Jika Anda menggunakan Cloud Workstation, ikuti petunjuk di Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi.

Langkah selanjutnya