Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls für Gemini konfigurieren

In diesem Dokument erfahren Sie, wie Sie VPC Service Controls zur Unterstützung Gemini für Google Cloud, ein KI-gestütztes Tool in Google Cloud. Um diese Konfiguration abzuschließen, gehen Sie so vor:

Aktualisieren Sie den Dienstperimeter Ihrer Organisation, sodass Gemini verwendet wird. In diesem Dokument wird davon ausgegangen, dass Sie bereits einen Dienstperimeter am Organisationsebene. Weitere Informationen zu Dienstperimetern finden Sie unter Details zu Dienstperimetern und Konfiguration.
In Projekten, für die Sie den Zugriff auf Gemini aktiviert haben, VPC-Netzwerke so konfigurieren, dass der ausgehende Traffic blockiert wird, mit Ausnahme von Traffic zum eingeschränkten VIP-Bereich.

Hinweise

Gemini muss für Ihr Google Cloud-Nutzerkonto und -Projekt.
Prüfen Sie, ob Sie die erforderliche Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) haben Rollen einrichten und verwalten VPC Service Controls
Achten Sie darauf, dass Sie auf Organisationsebene einen Dienstperimeter haben, zum Einrichten von Gemini verwenden kann. Wenn Sie keinen Dienst haben Perimeter auf dieser Ebene können Sie einen erstellen.

Gemini dem Dienstperimeter hinzufügen

Fügen Sie Gemini hinzu, um VPC Service Controls mit Gemini zu verwenden mit dem Dienstperimeter auf Organisationsebene. Der Dienstperimeter muss alle die Dienste, die Sie mit Gemini und anderen Google Cloud-Diensten verwenden die Sie schützen möchten.

So fügen Sie Gemini Ihrem Dienstperimeter hinzu:

Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“
Wählen Sie Ihre Organisation aus.
Klicken Sie auf der Seite VPC Service Controls auf den Namen Ihres Perimeters.
Klicken Sie auf Ressourcen hinzufügen und gehen Sie so vor:
1. Gehen Sie für jedes Projekt, in dem Sie Gemini aktiviert haben, im Ressourcen hinzufügen auf Projekt hinzufügen und gehen Sie dann so vor:
  1. Wählen Sie im Dialogfeld Projekte hinzufügen die Projekte aus, die Sie hinzufügen möchten.
    
    Wenn Sie eine freigegebene VPC verwenden, fügen Sie den Host hinzu. Projekt- und Dienstprojekte zum Dienstperimeter hinzufügen.
  2. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt .
2. Geben Sie für jedes VPC-Netzwerk in Ihren Projekten im Feld Ressourcen auf VPC-Netzwerk hinzufügen und gehen Sie dann so vor:
  1. Klicken Sie in der Liste der Projekte auf das Projekt, das die VPC enthält. Netzwerk.
  2. Klicken Sie im Dialogfeld Ressourcen hinzufügen das Kästchen für das VPC-Netzwerk an.
  3. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Das hinzugefügte Netzwerk wird im Bereich VPC Netzwerke verfügbar.
Klicken Sie auf Eingeschränkte Dienste und gehen Sie so vor:
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option Cloud AI Companion API als Dienst, den Sie schützen möchten innerhalb des Perimeters.
  
  Hinweis: Wir empfehlen, beim Erstellen eines Perimeters alle Dienste einzuschränken. um das Risiko der Daten-Exfiltration aus Google Cloud-Diensten zu verringern.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der die Sie im vorherigen Schritt ausgewählt haben.
Optional: Wenn Ihre Entwickler Gemini im vom Cloud Code-Plug-in in dessen IDEs aus. Sie müssen die Cloud Code API der Liste Eingeschränkte Dienste hinzufügen und die Richtlinie für eingehenden Traffic konfigurieren

Wenn Sie VPC Service Controls für Gemini aktivieren, Zugriff von außerhalb des Perimeters, einschließlich Ausführen der Cloud Code-IDE Erweiterungen von Computern, die sich nicht im Perimeter befinden, z. B. Firmenlaptops. Daher sind diese Schritte erforderlich, wenn Sie Gemini mit dem Cloud Code-Plug-in.
1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option Cloud Code API als Dienst, den Sie sichern möchten innerhalb des Perimeters.
3. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der die Sie im vorherigen Schritt ausgewählt haben.
4. Klicken Sie auf Richtlinie für eingehenden Traffic.
5. Klicken Sie im Bereich Regeln für eingehenden Traffic auf Regel hinzufügen.
6. Geben Sie unter Von Attributen des API-Clients die Quellen außerhalb des die Zugriff erfordern. Sie können Projekte, Zugriffsebenen und VPC-Netzwerke als Quellen.
7. Geben Sie unter Zu Attributen von Google Cloud-Ressourcen/-Diensten den Dienst an. Name von Gemini und der Cloud Code API.
  
  Eine Liste der Regeln für eingehenden Traffic finden Sie unter Regeln für eingehenden Traffic Referenz.
Optional: Wenn Ihre Organisation Access Context Manager haben und von außerhalb des Perimeters auf geschützte Ressourcen, Zugriffsebenen festlegen:
1. Klicken Sie auf Zugriffsebenen.
2. Wählen Sie im Bereich Ingress-Richtlinie: Zugriffsebenen die Option Zugriff auswählen Level ein.
3. Klicken Sie die Kästchen für die gewünschten Zugriffsebenen an. die auf den Perimeter angewendet werden sollen.
Klicken Sie auf Speichern.

Nachdem Sie diese Schritte ausgeführt haben, prüft VPC Service Controls alle Aufrufe der Cloud AI Companion API, um sicherzustellen, dass sie aus derselben des Perimeters.

VPC-Netzwerke konfigurieren

Sie müssen Ihre VPC-Netzwerke so konfigurieren, dass die gesendeten Anfragen an die reguläre virtuelle IP-Adresse googleapis.com werden automatisch an den eingeschränkte virtuelle IP (VIP) Bereich, 199.36.153.4/30 (restricted.googleapis.com), wo Ihr Gemini-Dienst ist der Auslieferung. Sie müssen die Konfigurationen im Cloud Code nicht ändern IDE-Erweiterungen.

Führen Sie für jedes VPC-Netzwerk in Ihrem Projekt die folgenden Schritte aus, um ausgehenden Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich:

Aktivieren Sie privaten Google-Zugriff in den Subnetzen, in denen Ihre VPC-Netzwerkressourcen gehostet werden.
Firewall konfigurieren Regeln um zu verhindern, dass Daten das VPC-Netzwerk verlassen.

Achtung: Wenn Sie die Firewallregeln nicht ordnungsgemäß konfigurieren, können Ihre Dienste anfällig für Daten-Exfiltration.
1. Erstellen Sie eine Regel, die ausgehenden Traffic blockiert.
  
  Hinweis: Achten Sie darauf, dass die Firewallregel zum Ablehnen von ausgehendem Traffic eine Priorität hat, nachdem 1000 Andernfalls wird Traffic vom Connector für Serverloser VPC-Zugriff zu werden die Dienste blockiert.
2. Regel zum Zulassen von ausgehendem Traffic erstellen, die Traffic zu 199.36.153.4/30 über TCP zulässt Port 443. Achten Sie darauf, dass die Regel zum Zulassen von ausgehendem Traffic eine Priorität vor dem Ablehnen hat Ausgangsregel, die Sie gerade erstellt haben. Dadurch wird ausgehender Traffic nur an den eingeschränkter VIP-Bereich.
Erstellen Sie eine Cloud DNS-Antwortrichtlinie.
Regel für die Antwort erstellen Richtlinie um *.googleapis.com in restricted.googleapis.com aufzulösen folgende Werte:
- DNS-Name: *.googleapis.com.
- Lokale Daten: restricted.googleapis.com.
- Eintragstyp: A
- TTL: 300
- RR-Daten: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  Der IP-Adressbereich für restricted.googleapis.com ist 199.36.153.4/30.

Nachdem Sie diese Schritte abgeschlossen haben, werden die Anfragen, die aus dem das VPC-Netzwerk das VPC-Netzwerk nicht verlassen, um ausgehenden Traffic außerhalb des Dienstperimeters zu verhindern. Mit diesen Anfragen erreichen Sie Google APIs und Google-Dienste, die VPC Service Controls überprüfen, verhindern, Daten-Exfiltration über Google APIs.

Zusätzliche Konfigurationen

Je nachdem, welche Google Cloud-Produkte Sie mit Gemini verwenden möchten, müssen Sie Folgendes berücksichtigen:

Clientcomputer, die mit dem Perimeter verbunden sind. Maschinen innerhalb der VPC Service Controls-Perimeter kann auf alle Gemini zugreifen User Experiences. Sie können den Perimeter auch auf einen autorisierten erweitern. Cloud VPN oder Cloud Interconnect von einem externes Netzwerk.
Clientcomputer außerhalb des Perimeters. Mit Clientcomputern können Sie kontrollierten Zugriff auf den eingeschränkt.
- Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb zulassen. einen Perimeter.
- Ein Beispiel für das Erstellen einer Zugriffsebene in einem Unternehmensnetzwerk finden Sie unter Zugriff auf Unternehmenskonten beschränken Netzwerk
- Lesen Sie die Einschränkungen wenn Sie VPC Service Controls mit Gemini verwenden.
Gemini Code Assist Zur Einhaltung der VPC Service Controls überprüfen, ob die verwendete IDE oder Workstation hat keinen Zugriff auf https://www.google.com/tools/feedback/mobile durch Firewallrichtlinien.
Cloud Workstations: Wenn Sie Cloud Workstations verwenden, folgen Sie den unter VPC Service Controls und private Cluster.

Nächste Schritte

Informationen zu den Compliance-Angeboten in Google Cloud finden Sie unter Center für Compliance-Ressourcen.