Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls für Gemini konfigurieren

In diesem Dokument erfahren Sie, wie Sie VPC Service Controls zur Unterstützung Gemini für Google Cloud, ein KI-gestütztes Tool in Google Cloud. So schließen Sie diese Konfiguration ab:

Aktualisieren Sie den Dienstperimeter Ihrer Organisation, um Gemini einzubeziehen. In diesem Dokument wird davon ausgegangen, dass Sie bereits einen Dienstperimeter im Organisationsebene. Weitere Informationen zu Dienstperimetern finden Sie unter Details zu Dienstperimetern und Konfiguration.
In Projekten, für die Sie den Zugriff auf Gemini aktiviert haben, VPC-Netzwerke so konfigurieren, dass der ausgehende Traffic blockiert wird, mit Ausnahme von Traffic zum eingeschränkten VIP-Bereich.

Hinweis

Achten Sie darauf, dass Gemini für Ihr Google Cloud-Nutzerkonto und -Projekt eingerichtet ist.
Prüfen Sie, ob Sie die erforderliche Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) haben Rollen einrichten und verwalten VPC Service Controls
Sie benötigen einen Dienstperimeter auf Organisationsebene, mit dem Sie Gemini einrichten können. Wenn Sie keinen Dienst haben Perimeter auf dieser Ebene können Sie einen erstellen.

Gemini dem Dienstperimeter hinzufügen

Wenn Sie VPC Service Controls mit Gemini verwenden möchten, fügen Sie Gemini dem Dienstperimeter auf Organisationsebene hinzu. Der Dienstperimeter muss alle Dienste enthalten, die Sie mit Gemini und anderen Google Cloud-Diensten verwenden, die Sie schützen möchten.

So fügen Sie Ihrem Dienstperimeter Gemini hinzu:

Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Wählen Sie Ihre Organisation aus.
Klicken Sie auf der Seite VPC Service Controls auf den Namen Ihres Perimeters.
Klicken Sie auf Ressourcen hinzufügen und gehen Sie so vor:
1. Klicken Sie für jedes Projekt, in dem Sie Gemini aktiviert haben, im Bereich Ressourcen hinzufügen auf Projekt hinzufügen und führen Sie dann die folgenden Schritte aus:
  1. Wählen Sie im Dialogfeld Projekte hinzufügen die Projekte aus, die Sie hinzufügen möchten.
    
    Wenn Sie eine freigegebene VPC verwenden, fügen Sie dem Dienstperimeter das Hostprojekt und die Dienstprojekte hinzu.
  2. Klicken Sie auf Auswahl hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt .
2. Klicken Sie für jedes VPC-Netzwerk in Ihren Projekten im Bereich Ressourcen hinzufügen auf VPC-Netzwerk hinzufügen und gehen Sie dann so vor:
  1. Klicken Sie in der Projektliste auf das Projekt, das das VPC-Netzwerk enthält.
  2. Klicken Sie im Dialogfeld Ressourcen hinzufügen das Kästchen für das VPC-Netzwerk an.
  3. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Das hinzugefügte Netzwerk wird im Bereich VPC-Netzwerke angezeigt.
Klicken Sie auf Eingeschränkte Dienste und gehen Sie so vor:
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Gemini for Google Cloud API als den Dienst aus, den Sie im Perimeter sichern möchten.
  
  Hinweis: Wir empfehlen, beim Erstellen eines Perimeters alle Dienste einzuschränken. um das Risiko der Daten-Exfiltration aus Google Cloud-Diensten zu verringern.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der die Sie im vorherigen Schritt ausgewählt haben.
Optional: Wenn Ihre Entwickler Gemini im vom Cloud Code-Plug-in in dessen IDEs aus. Sie müssen die Cloud Code API der Liste Eingeschränkte Dienste hinzufügen und die Richtlinie für eingehenden Traffic konfigurieren

Durch Aktivieren von VPC Service Controls für Gemini wird der gesamte Zugriff von außerhalb des Perimeters verhindert. Dazu gehört auch das Ausführen von Cloud Code IDE-Erweiterungen von Rechnern, die sich nicht im Perimeter befinden, z. B. Laptops von Unternehmen. Daher sind diese Schritte erforderlich, wenn Sie Gemini mit dem Cloud Code-Plug-in.
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Cloud Code API als den Dienst aus, den Sie im Perimeter sichern möchten.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der die Sie im vorherigen Schritt ausgewählt haben.
4. Klicken Sie auf Richtlinie für eingehenden Traffic.
5. Klicken Sie im Bereich Regeln für eingehenden Traffic auf Regel hinzufügen.
6. Geben Sie unter Von Attributen des API-Clients die Quellen außerhalb des die Zugriff erfordern. Sie können Projekte, Zugriffsebenen und VPC-Netzwerke als Quellen angeben.
7. Geben Sie unter Zu Attributen von Google Cloud-Ressourcen/-Diensten den Dienst an. Name von Gemini und der Cloud Code API.
  
  Eine Liste der Regelattribute für eingehenden Traffic finden Sie unter Referenz zu Regeln für eingehenden Traffic.
Optional: Wenn Ihre Organisation Access Context Manager festgelegt haben und von außerhalb des Perimeters auf geschützte Ressourcen, Zugriffsebenen festlegen:
1. Klicken Sie auf Zugriffsebenen.
2. Wählen Sie im Bereich Richtlinie für eingehenden Traffic: Zugriffsebenen das Feld Zugriffsebene auswählen aus.
3. Klicken Sie die Kästchen für die gewünschten Zugriffsebenen an. die auf den Perimeter angewendet werden sollen.
Klicken Sie auf Speichern.

Nachdem Sie diese Schritte ausgeführt haben, werden alle Aufrufe der Gemini for Google Cloud API mit VPC Service Controls geprüft, um sicherzustellen, dass sie aus demselben Perimeter stammen.

VPC-Netzwerke konfigurieren

Sie müssen Ihre VPC-Netzwerke so konfigurieren, dass Anfragen an die reguläre virtuelle googleapis.com-IP-Adresse automatisch an den eingeschränkten VIP-Bereich 199.36.153.4/30 (restricted.googleapis.com) geleitet werden, wo Ihr Gemini-Dienst die Bereitstellung durchführt. Sie müssen keine Konfigurationen im Cloud Code ändern IDE-Erweiterungen.

Führen Sie für jedes VPC-Netzwerk in Ihrem Projekt die folgenden Schritte aus, um ausgehenden Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich:

Aktivieren Sie privaten Google-Zugriff in den Subnetzen, in denen Ihre VPC-Netzwerkressourcen gehostet werden.
Konfigurieren Sie Firewallregeln, um zu verhindern, dass Daten das VPC-Netzwerk verlassen.

Achtung: Wenn Sie die Firewallregeln nicht ordnungsgemäß konfigurieren, können Ihre Dienste anfällig für Daten-Exfiltration.
1. Erstellen Sie eine Regel, die ausgehenden Traffic blockiert.
  
  Hinweis: Achten Sie darauf, dass die Firewallregel zum Ablehnen von ausgehendem Traffic eine Priorität hat, nachdem 1000 Andernfalls wird Traffic vom Connector für Serverloser VPC-Zugriff zu werden die Dienste blockiert.
2. Erstellen Sie eine Regel, die ausgehenden Traffic auf 199.36.153.4/30 an TCP-Port 443 zulässt. Achten Sie darauf, dass die Regel zum Zulassen von ausgehendem Traffic eine Priorität vor dem Ablehnen hat Ausgangsregel, die Sie gerade erstellt haben. Dadurch wird ausgehender Traffic nur an den eingeschränkter VIP-Bereich.
Erstellen Sie eine Cloud DNS-Antwortrichtlinie.
Erstellen Sie eine Regel für die Antwortrichtlinie, um *.googleapis.com in restricted.googleapis.com aufzulösen, und verwenden Sie dazu die folgenden Werte:
- DNS-Name: *.googleapis.com.
- Lokale Daten: restricted.googleapis.com.
- Datensatztyp: A
- TTL: 300
- RR-Daten: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  Der IP-Adressbereich für restricted.googleapis.com ist 199.36.153.4/30.

Nachdem Sie diese Schritte ausgeführt haben, können Anfragen, die innerhalb des VPC-Netzwerks stammen, dieses nicht mehr verlassen. So wird der Datenfluss außerhalb des Dienstperimeters verhindert. Diese Anfragen können nur Google APIs und Dienste erreichen, die VPC Service Controls prüfen, wodurch eine Daten-Exfiltration über Google APIs verhindert wird.

Zusätzliche Konfigurationen

Je nachdem, welche Google Cloud-Produkte Sie mit Gemini verwenden möchten, müssen Sie Folgendes berücksichtigen:

Clientcomputer, die mit dem Perimeter verbunden sind. Computer, die sich innerhalb des VPC Service Controls-Perimeters befinden, können auf alle Gemini-Umgebungen zugreifen. Sie können den Perimeter auch auf einen autorisierten erweitern. Cloud VPN oder Cloud Interconnect von einem externes Netzwerk.
Clientcomputer außerhalb des Perimeters Mit Clientcomputern können Sie kontrollierten Zugriff auf den eingeschränkt.
- Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb zulassen. einen Perimeter.
- Ein Beispiel für das Erstellen einer Zugriffsebene in einem Unternehmensnetzwerk finden Sie unter Zugriff auf Unternehmenskonten beschränken Netzwerk
- Lesen Sie die Einschränkungen wenn Sie VPC Service Controls mit Gemini verwenden.
Gemini Code Assist Zur Einhaltung der VPC Service Controls überprüfen, ob die verwendete IDE oder Workstation hat keinen Zugriff auf https://www.google.com/tools/feedback/mobile durch Firewallrichtlinien.
Cloud Workstations: Wenn Sie Cloud Workstations verwenden, folgen Sie den unter VPC Service Controls und private Cluster.

Nächste Schritte

Informationen zu den Compliance-Angeboten in Google Cloud finden Sie unter Center für Compliance-Ressourcen.