Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls für Gemini konfigurieren

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls konfigurieren, um Gemini zu unterstützen, ein KI-gestütztes Tool in Google Cloud. So schließen Sie diese Konfiguration ab:

Aktualisieren Sie den Dienstperimeter Ihrer Organisation, sodass Gemini verwendet wird. In diesem Dokument wird davon ausgegangen, dass Sie bereits einen Dienstperimeter auf Organisationsebene haben. Weitere Informationen zu Dienstperimetern finden Sie unter Details und Konfiguration von Dienstperimetern.
Konfigurieren Sie in Projekten, für die Sie den Zugriff auf Gemini aktiviert haben, VPC-Netzwerke so, dass ausgehender Traffic blockiert wird, mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich.

Hinweise

Prüfen Sie, ob Gemini für Ihr Google Cloud-Nutzerkonto und -Projekt eingerichtet ist.
Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management) zum Einrichten und Verwalten von VPC Service Controls.
Sie benötigen einen Dienstperimeter auf Organisationsebene, den Sie zum Einrichten von Gemini verwenden können. Wenn Sie keinen Dienstperimeter auf dieser Ebene haben, können Sie einen erstellen.

Gemini dem Dienstperimeter hinzufügen

Wenn Sie VPC Service Controls mit Gemini verwenden möchten, fügen Sie Gemini dem Dienstperimeter auf Organisationsebene hinzu. Der Dienstperimeter muss alle Dienste enthalten, die Sie mit Gemini und anderen Google Cloud-Diensten verwenden, die Sie schützen möchten.

So fügen Sie Gemini Ihrem Dienstperimeter hinzu:

Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Wählen Sie Ihre Organisation aus.
Klicken Sie auf der Seite VPC Service Controls auf den Namen Ihres Perimeters.
Klicken Sie auf Ressourcen hinzufügen und gehen Sie so vor:
1. Klicken Sie für jedes Projekt, in dem Sie Gemini aktiviert haben, im Bereich Ressourcen hinzufügen auf Projekt hinzufügen und gehen Sie dann so vor:
  1. Wählen Sie im Dialogfeld Projekte hinzufügen die Projekte aus, die Sie hinzufügen möchten.
    
    Wenn Sie eine freigegebene VPC verwenden, fügen Sie dem Dienstperimeter das Hostprojekt und die Dienstprojekte hinzu.
  2. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.
2. Klicken Sie für jedes VPC-Netzwerk in Ihren Projekten im Bereich Ressourcen hinzufügen auf VPC-Netzwerk hinzufügen und gehen Sie dann so vor:
  1. Klicken Sie in der Liste der Projekte auf das Projekt, das das VPC-Netzwerk enthält.
  2. Klicken Sie im Dialogfeld Ressourcen hinzufügen das Kästchen für das VPC-Netzwerk an.
  3. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Das hinzugefügte Netzwerk wird im Bereich VPC-Netzwerke angezeigt.
Klicken Sie auf Eingeschränkte Dienste und gehen Sie so vor:
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Cloud AI Companion API als Dienst aus, den Sie im Perimeter schützen möchten.
  
  Hinweis: Wir empfehlen, beim Erstellen eines Perimeters alle Dienste einzuschränken, um das Risiko der Daten-Exfiltration aus Google Cloud-Diensten zu verringern.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.
Optional: Wenn Ihre Entwickler Gemini im Perimeter über das Cloud Code-Plug-in in ihren IDEs verwenden müssen, müssen Sie die Cloud Code API der Liste Eingeschränkte Dienste hinzufügen und die Richtlinie für eingehenden Traffic konfigurieren.

Wenn Sie VPC Service Controls für Gemini aktivieren, wird der gesamte Zugriff von außerhalb des Perimeters verhindert. Dies schließt die Ausführung von Cloud Code IDE-Erweiterungen von Maschinen ein, die sich nicht im Perimeter befinden, z. B. Firmenlaptops. Daher sind diese Schritte erforderlich, wenn Sie Gemini mit dem Cloud Code-Plug-in verwenden möchten.
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Cloud Code API als Dienst aus, den Sie im Perimeter sichern möchten.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.
4. Klicken Sie auf Richtlinie für eingehenden Traffic.
5. Klicken Sie im Bereich Regeln für eingehenden Traffic auf Regel hinzufügen.
6. Geben Sie unter Von Attributen des API-Clients die Quellen außerhalb des Perimeters an, die Zugriff benötigen. Sie können Projekte, Zugriffsebenen und VPC-Netzwerke als Quellen angeben.
7. Geben Sie unter Um Attribute von Google Cloud-Ressourcen/-Diensten den Dienstnamen von Gemini und der Cloud Code API an.
  
  Eine Liste der Attribute für Eingangsregeln finden Sie in der Referenz zu Regeln für eingehenden Traffic.
Optional: Wenn Ihre Organisation Access Context Manager verwendet und Sie Entwicklern Zugriff auf geschützte Ressourcen von außerhalb des Perimeters gewähren möchten, können Sie Zugriffsebenen festlegen:
1. Klicken Sie auf Zugriffsebenen.
2. Wählen Sie im Bereich Ingress Policy: Access Levels (Richtlinie für eingehenden Traffic: Zugriffsebenen) das Feld Zugriffsebene auswählen aus.
3. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Perimeter anwenden möchten.
Klicken Sie auf Speichern.

Nachdem Sie diese Schritte ausgeführt haben, prüft VPC Service Controls alle Aufrufe der Cloud AI Companion API, um sicherzustellen, dass sie aus demselben Perimeter stammen.

VPC-Netzwerke konfigurieren

Sie müssen Ihre VPC-Netzwerke so konfigurieren, dass die an die reguläre virtuelle IP-Adresse googleapis.com gesendeten Anfragen automatisch an den eingeschränkten virtuellen IP-Bereich (VIP) 199.36.153.4/30 (restricted.googleapis.com) weitergeleitet werden, in dem Ihr Gemini-Dienst bereitgestellt wird. Sie müssen die Konfigurationen in den Cloud Code IDE-Erweiterungen nicht ändern.

Führen Sie für jedes VPC-Netzwerk in Ihrem Projekt die folgenden Schritte aus, um ausgehenden Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich zu blockieren:

Aktivieren Sie den privaten Google-Zugriff in den Subnetzen, in denen Ihre VPC-Netzwerkressourcen gehostet werden.
Konfigurieren Sie Firewallregeln, um zu verhindern, dass Daten das VPC-Netzwerk verlassen.

Achtung :Wenn Sie die Firewallregeln nicht ordnungsgemäß konfigurieren, können Ihre Dienste anfällig für Daten-Exfiltration werden.
1. Erstellen Sie eine Regel, die ausgehenden Traffic blockiert.
  
  Hinweis: Achten Sie darauf, dass die Firewallregel zum Ablehnen von ausgehendem Traffic eine Priorität nach 1000 hat. Andernfalls wird der Traffic vom Connector für Serverloser VPC-Zugriff zu Ihrem Dienst blockiert.
2. Erstellen Sie eine Regel zum Zulassen von ausgehendem Traffic, die Traffic zu 199.36.153.4/30 über den TCP-Port 443 zulässt. Achten Sie darauf, dass die Regel zum Zulassen von ausgehendem Traffic eine Priorität vor der Regel zum Ablehnen von ausgehendem Traffic hat, die Sie gerade erstellt haben. Dadurch wird ausgehender Traffic nur an den eingeschränkten VIP-Bereich zugelassen.
Erstellen Sie eine Cloud DNS-Antwortrichtlinie.
Erstellen Sie eine Regel für die Antwortrichtlinie, um *.googleapis.com mit den folgenden Werten in restricted.googleapis.com aufzulösen:
- DNS-Name: *.googleapis.com.
- Lokale Daten: restricted.googleapis.com.
- Eintragstyp: A
- TTL: 300
- RR-Daten: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  Der IP-Adressbereich für restricted.googleapis.com ist 199.36.153.4/30.

Nachdem Sie diese Schritte ausgeführt haben, können Anfragen, die aus dem VPC-Netzwerk stammen, das VPC-Netzwerk nicht verlassen. Dadurch wird ausgehender Traffic außerhalb des Dienstperimeters verhindert. Diese Anfragen können nur Google APIs und Google-Dienste erreichen, die VPC Service Controls überprüfen und so eine Daten-Exfiltration über Google APIs verhindern.

Zusätzliche Konfigurationen

Abhängig von den Google Cloud-Produkten, die Sie mit Gemini verwenden, müssen Sie Folgendes berücksichtigen:

Clientcomputer, die mit dem Perimeter verbunden sind. Maschinen innerhalb des VPC Service Controls-Perimeters können auf alle Gemini-Funktionen zugreifen. Sie können den Perimeter auch von einem externen Netzwerk aus auf ein autorisiertes Cloud VPN oder Cloud Interconnect erweitern.
Clientcomputer außerhalb des Perimeters. Wenn Sie Clientcomputer außerhalb des Dienstperimeters haben, können Sie kontrollierten Zugriff auf den eingeschränkten Gemini-Dienst gewähren.
- Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.
- Ein Beispiel für das Erstellen einer Zugriffsebene in einem Unternehmensnetzwerk finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.
- Prüfen Sie die Einschränkungen bei der Verwendung von VPC Service Controls mit Gemini.
Gemini Code Assist Für die Einhaltung von VPC Service Controls muss die verwendete IDE oder Workstation über Firewallrichtlinien keinen Zugriff auf https://www.google.com/tools/feedback/mobile haben.
Cloud Workstations: Wenn Sie Cloud Workstations verwenden, folgen Sie der Anleitung unter VPC Service Controls und private Cluster konfigurieren.

Nächste Schritte

Informationen zu den Compliance-Angeboten in Google Cloud finden Sie im Center für Compliance-Ressourcen.