Esta página se ha traducido con Cloud Translation API.

Configurar Controles de Servicio de VPC para Gemini

En este documento se explica cómo configurar Controles de Servicio de VPC para admitir Gemini para Google Cloud, un colaborador basado en IA en Google Cloud. Para completar esta configuración, haz lo siguiente:

Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento se da por hecho que ya tienes un perímetro de servicio a nivel de organización. Para obtener más información sobre los perímetros de servicio, consulta Detalles y configuración de los perímetros de servicio.
En los proyectos en los que hayas habilitado el acceso a Gemini, configura las redes VPC para bloquear el tráfico saliente, excepto el tráfico al intervalo de IPs virtuales restringido.

Antes de empezar

Asegúrate de que Gemini Code Assist esté configurado en tu cuenta de usuario y proyecto de Google Cloud.
Asegúrate de que tienes los roles de Gestión de Identidades y Accesos (IAM) necesarios para configurar y administrar Controles de Servicio de VPC.
Asegúrate de tener un perímetro de servicio a nivel de organización que puedas usar para configurar Gemini. Si no tienes un perímetro de servicio en este nivel, puedes crear uno.

Añadir Gemini a tu perímetro de servicio

Para usar Controles de Servicio de VPC con Gemini, debes añadir Gemini al perímetro de servicio a nivel de organización. El perímetro de servicio debe incluir todos los servicios que utilices con Gemini y otros servicios de Google Cloud que quieras proteger.

Para añadir Gemini a tu perímetro de servicio, sigue estos pasos:

En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

Ir a Controles de Servicio de VPC
Selecciona tu organización.
En la página Controles de Servicio de VPC, haga clic en el nombre de su perímetro.
Haz clic en Añadir recursos y sigue estos pasos:
1. En cada proyecto en el que hayas habilitado Gemini, en el panel Añadir recursos, haz clic en Añadir proyecto y, a continuación, haz lo siguiente:
2. En el cuadro de diálogo Añadir proyectos, selecciona los proyectos que quieras añadir.
  
  Si utilizas VPC compartida, añade el proyecto host y los proyectos de servicio al perímetro de servicio.
3. Haz clic en Añadir recursos seleccionados. Los proyectos añadidos aparecen en la sección Proyectos.
4. En el panel Añadir recursos de cada red de VPC de tus proyectos, haz clic en Añadir red de VPC y, a continuación, haz lo siguiente:
5. En la lista de proyectos, haga clic en el proyecto que contenga la red VPC.
6. En el cuadro de diálogo Añadir recursos, marca la casilla de la red VPC.
7. Haz clic en Añadir recursos seleccionados. La red añadida aparece en la sección Redes de VPC.
Haz clic en Servicios restringidos y sigue estos pasos:
1. En el panel Servicios restringidos, haz clic en Añadir servicios.
2. En el cuadro de diálogo Especificar servicios que restringir, selecciona API de Gemini para Google Cloud y API de Gemini Code Assist como los servicios que quieras proteger dentro del perímetro.
3. Si tienes previsto usar la personalización de código, selecciona también API Developer Connect. Para obtener más información sobre Developer Connect, consulta el resumen de Developer Connect.
  
  Para saber cómo usar las restricciones personalizadas del servicio de políticas de organización para restringir operaciones específicas en developerconnect.googleapis.com/Connection y developerconnect.googleapis.com/GitRepositoryLink, consulta Crear políticas de organización personalizadas.
Nota: Te recomendamos que restrinjas todos los servicios cuando crees un perímetro para reducir el riesgo de filtración externa de datos de los servicios de Google Cloud.
1. Haga clic en Añadir n servicios, donde n es el número de servicios que ha seleccionado en el paso anterior.
Opcional: Si tus desarrolladores necesitan usar Gemini dentro del perímetro desde el complemento Cloud Code en sus IDEs, tendrás que configurar la política de entrada.

Si habilitas Controles de Servicio de VPC para Gemini, se impedirá todo acceso desde fuera del perímetro, incluido el uso de extensiones de IDE de Gemini Code Assist desde máquinas que no estén en el perímetro, como los portátiles de la empresa. Por lo tanto, estos pasos son necesarios si quieres usar Gemini con el complemento Gemini Code Assist.
1. Haz clic en Política de entrada.
2. En el panel Reglas de entrada, haz clic en Añadir regla.
3. En Atributos FROM del cliente de API, especifica las fuentes de fuera del perímetro que requieran acceso. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.
4. En Atributos TO de Google Cloud recursos o servicios, especifica el nombre del servicio de Gemini y de la API Gemini Code Assist.
Para ver una lista de los atributos de las reglas de entrada, consulta la referencia de las reglas de entrada.
Opcional: Si tu organización usa Administrador de contextos de acceso y quieres dar acceso a los desarrolladores a recursos protegidos desde fuera del perímetro, define niveles de acceso:
1. Haz clic en Niveles de acceso.
2. En el panel Política de Ingress: niveles de acceso, selecciona el campo Elegir nivel de acceso.
3. Marca las casillas correspondientes a los niveles de acceso que quieras aplicar al perímetro.
Haz clic en Guardar.

Una vez que hayas completado estos pasos, Controles del servicio de VPC comprobará todas las llamadas a la API Gemini for Google Cloud para asegurarse de que proceden del mismo perímetro.

Configurar redes de VPC

Debes configurar tus redes de VPC para que las solicitudes enviadas a la IP virtual googleapis.com normal se enruten automáticamente al intervalo de IP virtual (VIP) restringida, 199.36.153.4/30 (restricted.googleapis.com), donde se ofrece tu servicio de Gemini. No es necesario que cambies ninguna configuración en las extensiones del IDE de Gemini Code Assist.

En cada red de VPC de tu proyecto, sigue estos pasos para bloquear el tráfico saliente, excepto el tráfico al intervalo de IPs virtuales restringidas:

Habilita el acceso privado de Google en las subredes que alojan los recursos de tu red de VPC.
Configura reglas de cortafuegos para evitar que los datos salgan de la red de VPC.

Precaución: Si no configuras correctamente las reglas del cortafuegos, tus servicios pueden ser vulnerables a la exfiltración de datos.
1. Crea una regla de denegación de salida que bloquee todo el tráfico saliente.
Nota: Asegúrate de que la regla de cortafuegos que deniega todo el tráfico saliente tenga una prioridad posterior a 1000. De lo contrario, se bloqueará el tráfico del conector de Acceso a VPC sin servidor a tu servicio.
1. Crea una regla de salida que permita el tráfico a 199.36.153.4/30 en el puerto TCP 443. Asegúrate de que la regla de salida permitida tenga una prioridad anterior a la regla de salida denegada que acabas de crear. De esta forma, solo se permitirá la salida al intervalo de VIP restringido.
Crea una política de respuesta de Cloud DNS.
Crea una regla para la política de respuesta para resolver *.googleapis.com en restricted.googleapis.com con los siguientes valores:
- Nombre de DNS: *.googleapis.com.
- Datos locales: restricted.googleapis.com.
- Tipo de registro: A
- TTL: 300
- Datos de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
El intervalo de direcciones IP de restricted.googleapis.com es 199.36.153.4/30.

Una vez que hayas completado estos pasos, las solicitudes que se originen en la red VPC no podrán salir de ella, lo que evitará que se produzcan salidas fuera del perímetro de servicio. Estas solicitudes solo pueden llegar a las APIs y los servicios de Google que comprueban Controles de Servicio de VPC, lo que evita la exfiltración a través de las APIs de Google.

Configuraciones adicionales

En función de los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:

Máquinas cliente conectadas al perímetro. Las máquinas que se encuentran dentro del perímetro de Controles de Servicio de VPC pueden acceder a todas las experiencias de Gemini. También puedes ampliar el perímetro a una Cloud VPN o una Cloud Interconnect autorizadas desde una red externa.
Máquinas cliente fuera del perímetro. Si tienes máquinas cliente fuera del perímetro del servicio, puedes conceder acceso controlado al servicio de Gemini restringido.
- Para obtener más información, consulta el artículo sobre cómo permitir el acceso a recursos protegidos desde fuera de un perímetro.
- Para ver un ejemplo de cómo crear un nivel de acceso en una red corporativa, consulta Limitar el acceso en una red corporativa.
- Consulta las limitaciones al usar Controles de Servicio de VPC con Gemini.
Gemini Code Assist. Para cumplir los requisitos de Controles de Servicio de VPC, asegúrate de que el IDE o la estación de trabajo que estés usando no tenga acceso a https://www.google.com/tools/feedback/mobile mediante políticas de cortafuegos.
Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones que se indican en el artículo Configurar Controles de Servicio de VPC y clústeres privados.

Siguientes pasos

Para obtener información sobre las ofertas de cumplimiento de Google Cloud, consulta el Centro de recursos para el cumplimiento.