Cette page a été traduite par l'API Cloud Translation.

Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour accompagner Gemini pour Google Cloud, un collaborateur optimisé par l'IA dans Google Cloud. Pour terminer cette configuration, procédez comme suit:

Mettez à jour le périmètre de service de votre organisation afin d'inclure Gemini. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez Les détails du périmètre de service configuration.
Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurer des réseaux VPC pour bloquer le trafic sortant, vers la plage VIP limitée.

Avant de commencer

Assurez-vous que Gemini est configuré pour votre compte utilisateur et votre projet Google Cloud.
Assurez-vous de disposer de la gestion du Identity and Access Management (IAM) requise. des rôles pour configurer et administrer VPC Service Controls.
Assurez-vous de disposer, au niveau de l'organisation, d'un périmètre de service pouvez utiliser pour configurer Gemini. Si vous n'avez pas de service périmètre à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les éléments les services que vous utilisez avec Gemini et d'autres services Google Cloud ; que vous voulez protéger.

Pour ajouter Gemini à votre périmètre de service, procédez comme suit:

Dans Google Cloud Console, accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le nom de votre périmètre.
Cliquez sur Ajouter des ressources et procédez comme suit:
1. Pour chaque projet dans lequel vous avez activé Gemini, dans le Le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:
  1. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.
    
    Si vous utilisez un VPC partagé, ajoutez l'hôte le projet et les projets de service au périmètre de service.
  2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets. .
2. Pour chaque réseau VPC de vos projets, dans la section Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:
  1. Dans la liste des projets, cliquez sur le projet contenant le VPC. réseau.
  2. Dans la boîte de dialogue Ajouter des ressources, cochez la case du réseau VPC.
  3. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans le VPC réseaux sociaux.
Cliquez sur Services restreints et procédez comme suit:
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Cloud AI Companion comme service que vous souhaitez sécuriser dans le périmètre.
  
  Remarque :Nous vous recommandons de restreindre tous les services lorsque vous créez un périmètre. pour limiter le risque d'exfiltration de données à partir des services Google Cloud.
3. Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.
Facultatif: Si vos développeurs doivent utiliser Gemini dans le du plug-in Cloud Code dans leurs IDE, vous allez vous devez ajouter l'API Cloud Code à la liste Services restreints, et configurer la règle d'entrée.

Activer VPC Service Controls pour Gemini empêche l'accès depuis l'extérieur du périmètre, y compris lors de l'exécution de l'IDE Cloud Code des extensions de machines hors du périmètre, comme les ordinateurs portables de l'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Gemini avec le plug-in Cloud Code.
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Cloud Code comme service que vous souhaitez sécuriser ; dans le périmètre.
3. Cliquez sur Ajouter des services n, où n est le nombre de que vous avez sélectionnés à l'étape précédente.
4. Cliquez sur Règle d'entrée.
5. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.
6. Dans Attributs "From" du client API, indiquez les sources depuis l'extérieur de périmètre requérant un accès. Vous pouvez spécifier des projets, des niveaux d'accès les réseaux VPC en tant que sources.
7. Dans Attributs "To" des ressources/services Google Cloud, spécifiez le service de Gemini et de l'API Cloud Code.
  
  Pour obtenir la liste des attributs des règles d'entrée, consultez la section Règles d'entrée référence.
Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez fournir aux développeurs un accès à des ressources protégées depuis l'extérieur du périmètre ; définissez des niveaux d'accès:
1. Cliquez sur Niveaux d'accès.
2. Dans le volet Règle d'entrée: Niveaux d'accès, sélectionnez l'option Choisir l'accès Level.
3. Cochez les cases correspondant aux niveaux d'accès souhaités. à appliquer au périmètre.
Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à la API Cloud AI Companion afin de s'assurer qu'elles proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC pour que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard sont automatiquement acheminées adresse IP virtuelle restreinte plage, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est de l'inférence. Vous n'avez pas besoin de modifier les configurations dans Cloud Code les extensions IDE.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer pour le trafic sortant, à l'exception du trafic vers la plage VIP restreinte:

Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.
Configurer le pare-feu règles pour empêcher les données de quitter le réseau VPC.

Attention :Si les règles de pare-feu ne sont pas correctement configurées, vos services risquent vulnérables à l'exfiltration de données.
1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
  
  Remarque :Assurez-vous que la règle de pare-feu de sortie refusant tout a une priorité après 1000 Sinon, le trafic provenant du connecteur d'accès au VPC sans serveur votre service sont bloqués.
2. Créer une règle de sortie autorisée qui autorise le trafic vers 199.36.153.4/30 sur TCP port 443. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus que vous venez de créer. Ainsi, le trafic de sortie est limité plage VIP restreinte.
Créez une stratégie de réponse Cloud DNS.
Créer une règle pour la réponse règlement pour résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes:
- Nom DNS: *.googleapis.com.
- Données locales: restricted.googleapis.com.
- Type d'enregistrement: A
- Valeur TTL: 300
- Données RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  La plage d'adresses IP pour restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes terminées, les requêtes provenant du réseau VPC ne peuvent pas quitter le réseau VPC, ce qui empêche le trafic de sortie en dehors du périmètre de service. Ces demandes ne peuvent atteindre aux API et services Google qui vérifient VPC Service Controls, ce qui empêche l'exfiltration via les API Google.

Configurations supplémentaires

Selon les produits Google Cloud que vous utilisez Gemini, vous devez tenir compte des points suivants:

Machines clientes connectées au périmètre. Les machines situées à l'intérieur Le périmètre VPC Service Controls peut accéder à l'ensemble expériences. Vous pouvez également étendre le périmètre à un Cloud VPN ou Cloud Interconnect depuis vers un réseau externe.
Machines clientes situées en dehors du périmètre Lorsque vous avez des machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé le service Gemini restreint.
- Pour en savoir plus, consultez Autoriser l'accès de l'extérieur aux ressources protégées un périmètre.
- Pour obtenir un exemple de création d'un niveau d'accès sur un réseau d'entreprise, reportez-vous à la section Limiter l'accès sur les appareils Google Cloud.
- Consultez les limites lorsque vous utilisez VPC Service Controls avec Gemini.
Gemini Code Assist Pour la conformité avec VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via des stratégies de pare-feu.
Cloud Workstations. Si vous utilisez Cloud Workstations, suivez les les instructions de la section Configurer VPC Service Controls et clusters.

Étape suivante

Pour en savoir plus sur les offres de conformité de Google Cloud, consultez Centre de ressources pour la conformité.