Configurare i Controlli di servizio VPC per Duet AI

Questo documento mostra come configurare i Controlli di servizio VPC per supportare Duet AI, un collaboratore basato sull'IA in Google Cloud. Per completare questa configurazione, procedi nel seguente modo:

  1. Aggiorna il perimetro di servizio della tua organizzazione in modo da includere Duet AI. Questo documento presuppone che tu abbia già un perimetro di servizio a livello di organizzazione. Per maggiori informazioni sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio.

  2. Nei progetti per cui hai abilitato l'accesso a Duet AI, configura le reti VPC in modo da bloccare il traffico in uscita, ad eccezione del traffico verso l'intervallo VIP limitato.

Prima di iniziare

  1. Assicurati che Duet AI sia configurato per il tuo account utente e il tuo progetto Google Cloud.
  2. Assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari per configurare e amministrare i Controlli di servizio VPC.

  3. Assicurati di avere un perimetro di servizio a livello di organizzazione che puoi utilizzare per configurare Duet AI. Se non hai un perimetro di servizio a questo livello, puoi crearne uno.

Aggiungi Duet AI al tuo perimetro di servizio

Per utilizzare Controlli di servizio VPC con Duet AI, devi aggiungere Duet AI al perimetro di servizio a livello di organizzazione. Il perimetro di servizio deve includere tutti i servizi che utilizzi con Duet AI e altri servizi Google Cloud che vuoi proteggere.

Per aggiungere Duet AI al tuo perimetro di servizio:

  1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro.

  4. Fai clic su Aggiungi risorse e procedi nel seguente modo:

    1. Per ogni progetto in cui hai abilitato Duet AI, nel riquadro Aggiungi risorse, fai clic su Aggiungi progetto, quindi segui questi passaggi:

      1. Nella finestra di dialogo Aggiungi progetti, seleziona i progetti che vuoi aggiungere.

        Se utilizzi un VPC condiviso, aggiungi il progetto host e i progetti di servizio al perimetro di servizio.

      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

    2. Per ogni rete VPC nei tuoi progetti, nel riquadro Aggiungi risorse, fai clic su Aggiungi rete VPC, quindi:

      1. Nell'elenco dei progetti, fai clic sul progetto che contiene la rete VPC.

      2. Nella finestra di dialogo Aggiungi risorse, seleziona la casella di controllo della rete VPC.

      3. Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nella sezione Reti VPC.

  5. Fai clic su Servizi limitati ed esegui le seguenti operazioni:

    1. Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.

    2. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Cloud AI Companion come servizio che vuoi proteggere all'interno del perimetro.

    3. Fai clic su Aggiungi servizi n, dove n è il numero di servizi selezionati nel passaggio precedente.

  6. (Facoltativo) Se gli sviluppatori devono utilizzare Duet AI all'interno del perimetro del plug-in Cloud Code nei propri IDE, configura il criterio in entrata.

    L'attivazione dei Controlli di servizio VPC per Duet AI impedisce ogni accesso dall'esterno del perimetro, inclusa l'esecuzione delle estensioni IDE Cloud Code da macchine non all'interno del perimetro, ad esempio i laptop aziendali. Pertanto, è necessario configurare il criterio in entrata se vuoi utilizzare Duet AI con il plug-in Cloud Code.

    1. Fai clic su Criterio in entrata.

    2. Nel riquadro Regole in entrata, fai clic su Aggiungi regola.

    3. In Attributi mittente del client API, specifica le origini esterne al perimetro che richiedono l'accesso. Puoi specificare progetti, livelli di accesso e reti VPC come origini.

    4. In Agli attributi delle risorse/dei servizi Google Cloud, specifica il nome del servizio di Duet AI.

      Per un elenco degli attributi delle regole in entrata, consulta il riferimento sulle regole in entrata.

  7. (Facoltativo) Se la tua organizzazione utilizza Gestore contesto accesso e vuoi concedere agli sviluppatori l'accesso alle risorse protette dall'esterno del perimetro, imposta i livelli di accesso:

    1. Fai clic su Livelli di accesso.

    2. Nel riquadro Criterio di ingresso: livelli di accesso, seleziona il campo Scegli il livello di accesso.

    3. Seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro.

  8. Fai clic su Salva.

Dopo aver completato questi passaggi, Controlli di servizio VPC controlla tutte le chiamate all'API Cloud AI Companion per garantire che abbiano origine all'interno dello stesso perimetro.

Configura reti VPC

Devi configurare le tue reti VPC in modo che le richieste inviate al normale IP virtuale googleapis.com vengano instradate automaticamente all'intervallo IP virtuale limitato (VIP), 199.36.153.4/30 (restricted.googleapis.com), dove viene pubblicato il tuo servizio Duet AI. Non è necessario modificare alcuna configurazione nelle estensioni dell'IDE Cloud Code.

Per ogni rete VPC nel progetto, segui questi passaggi per bloccare il traffico in uscita, ad eccezione di quello verso l'intervallo VIP limitato:

  1. Abilita l'accesso privato Google nelle subnet che ospitano le tue risorse di rete VPC.

  2. Configura le regole firewall per impedire ai dati di uscire dalla rete VPC.

    1. Crea una regola di negazione in uscita che blocca tutto il traffico in uscita.

    2. Crea una regola di autorizzazione in uscita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che la regola di autorizzazione in uscita abbia una priorità prima della regola di negazione del traffico in uscita che hai appena creato. In questo modo il traffico in uscita consente il traffico solo verso l'intervallo VIP limitato.

  3. Crea un criterio di risposta di Cloud DNS.

  4. Crea una regola per il criterio di risposta per risolvere *.googleapis.com in restricted.googleapis.com con i seguenti valori:

    • Nome DNS: *.googleapis.com.

    • Dati locali: restricted.googleapis.com.

    • Tipo di record: A

    • TTL: 300

    • Dati RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.

Dopo aver completato questi passaggi, le richieste che provengono dalla rete VPC non possono uscire dalla rete VPC, impedendo il traffico in uscita al di fuori del perimetro di servizio. Queste richieste possono raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, impedendo l'esfiltrazione tramite le API di Google.

Configurazioni aggiuntive

A seconda dei prodotti Google Cloud che utilizzi con Duet AI, devi considerare quanto segue:

  • Macchine client collegate al perimetro. Le macchine che si trovano all'interno del perimetro dei Controlli di servizio VPC possono accedere a tutte le esperienze Duet AI. Puoi anche estendere il perimetro a una Cloud VPN o Cloud Interconnect autorizzata da una rete esterna.

  • Macchine client al di fuori del perimetro. Se hai macchine client fuori dal perimetro di servizio, puoi concedere accesso controllato al servizio limitato di Duet AI.

  • Duet AI per gli sviluppatori. Per la conformità con i Controlli di servizio VPC, assicurati che l'IDE o la workstation in uso non abbia accesso a https://www.google.com/tools/feedback/mobile tramite i criteri firewall.

  • Workstation Cloud. Se utilizzi Cloud Workstations, segui le istruzioni riportate in Configurare i Controlli di servizio VPC e i cluster privati.

Passaggi successivi