En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir Gemini, un colaborador potenciado por IA en Google Cloud. Para completar esta configuración, haz lo siguiente:
Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento, se supone que ya tienes un perímetro de servicio a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Detalles y configuración del perímetro de servicio.
En los proyectos en los que habilitaste el acceso a Gemini, configura las redes de VPC para bloquear el tráfico saliente, excepto el tráfico al rango VIP restringido.
Antes de comenzar
- Asegúrate de que Gemini esté configurado para tu cuenta de usuario y tu proyecto de Google Cloud.
Asegúrate de tener las funciones de Identity and Access Management (IAM) necesarias para configurar y administrar los Controles del servicio de VPC.
Asegúrate de tener un perímetro de servicio a nivel de la organización que puedas usar para configurar Gemini. Si no tienes un perímetro de servicio en este nivel, puedes crear uno.
Agrega Gemini a tu perímetro de servicio
Para usar los Controles del servicio de VPC con Gemini, agrega Gemini al perímetro de servicio a nivel de la organización. El perímetro de servicio debe incluir todos los servicios que usas con Gemini y otros servicios de Google Cloud que deseas proteger.
Para agregar Gemini a tu perímetro de servicio, sigue estos pasos:
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.
Selecciona tu organización.
En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.
Haz clic en Add Resources y haz lo siguiente:
En cada proyecto en el que hayas habilitado Gemini, en el panel Agregar recursos, haz clic en Agregar proyecto y, luego, sigue estos pasos:
En el cuadro de diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.
Si usas una VPC compartida, agrega el proyecto host y los proyectos de servicio al perímetro de servicio.
Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.
Para cada red de VPC en tus proyectos, en el panel Agregar recursos, haz clic en Agregar red de VPC y, luego, haz lo siguiente:
En la lista de proyectos, haz clic en el que contenga la red de VPC.
En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.
Haz clic en Agregar recursos seleccionados. La red agregada aparece en la sección Redes de VPC.
Haz clic en Servicios restringidos y haz lo siguiente:
En el panel Servicios restringidos, haz clic en Agregar servicios.
En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona API de Cloud AI Companion como el servicio que deseas proteger dentro del perímetro.
Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.
Opcional: Si tus desarrolladores necesitan usar Gemini dentro del perímetro del complemento de Cloud Code en sus IDE, deberás agregar la API de Cloud Code a la lista Restringidos y configurar la política de entrada.
Si habilitas los Controles del servicio de VPC para Gemini, se evita todo acceso desde fuera del perímetro, lo que incluye la ejecución de extensiones de IDE de Cloud Code desde máquinas que no están en el perímetro, como las laptops de la empresa. Por lo tanto, estos pasos son necesarios si deseas usar Gemini con el complemento de Cloud Code.
En el panel Servicios restringidos, haz clic en Agregar servicios.
En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona API de Cloud Code como el servicio que deseas proteger dentro del perímetro.
Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.
Haz clic en Política de entrada.
En el panel Reglas de entrada, haz clic en Agregar regla.
En Desde atributos del cliente de la API, especifica las fuentes desde fuera del perímetro que requieren acceso. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.
En Atributos de los recursos y servicios de Google Cloud, especifica el nombre del servicio de Gemini y la API de Cloud Code.
Para obtener una lista de atributos de reglas de entrada, consulta Referencia de reglas de entrada.
Opcional: Si tu organización usa Access Context Manager y deseas proporcionar a los desarrolladores acceso a recursos protegidos fuera del perímetro, configura niveles de acceso de la siguiente manera:
Haz clic en Niveles de acceso.
En el panel Política de entrada: Niveles de acceso, selecciona el campo Elige el nivel de acceso.
Selecciona las casillas de verificación correspondientes a los niveles de acceso que deseas aplicar al perímetro.
Haz clic en Guardar.
Después de completar estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la API de Cloud AI Companion para garantizar que se originen en el mismo perímetro.
Configura redes de VPC
Debes configurar tus redes de VPC para que las solicitudes enviadas a la IP virtual googleapis.com normal se enruten de forma automática al rango de IP virtual (VIP) restringido, 199.36.153.4/30 (restricted.googleapis.com), en el que entrega tu servicio de Gemini. No es necesario que cambies la configuración de las extensiones de IDE de Cloud Code.
Sigue estos pasos para bloquear el tráfico saliente de cada red de VPC en tu proyecto, excepto el que se dirige al rango VIP restringido:
Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.
Configura reglas de firewall para evitar que los datos salgan de la red de VPC.
Crea una regla de rechazo de salida que bloquee todo el tráfico saliente.
Crea una regla de permiso de salida que permita el tráfico hacia
199.36.153.4/30en el puerto TCP443. Asegúrate de que la regla de permiso de salida tenga prioridad antes que la regla de denegación de salida que acabas de crear. Esto permite la salida solo al rango VIP restringido.
Crea una regla para la política de respuesta a fin de resolver
*.googleapis.comenrestricted.googleapis.comcon los siguientes valores:Nombre de DNS:
*.googleapis.com.Datos locales:
restricted.googleapis.com.Tipo de registro:
ATTL:
300Datos de RR:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7El rango de direcciones IP para
restricted.googleapis.comes199.36.153.4/30.
Después de completar estos pasos, las solicitudes que se originan en la red de VPC no pueden salir de ella, lo que evita la salida fuera del perímetro de servicio. Estas solicitudes solo pueden llegar a las APIs y a los servicios de Google que cumplen con los Controles del servicio de VPC, lo que evita el robo a través de las APIs de Google.
Parámetros de configuración adicionales
Según los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:
Máquinas cliente conectadas al perímetro. Las máquinas que están dentro del perímetro de los Controles del servicio de VPC pueden acceder a todas las experiencias de Gemini. También puedes extender el perímetro a una Cloud VPN o Cloud Interconnect autorizada desde una red externa.
Máquinas cliente fuera del perímetro. Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio restringido de Gemini.
Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera de un perímetro.
Para ver un ejemplo de cómo crear un nivel de acceso en una red corporativa, consulta Limita el acceso en una red corporativa.
Revisa las limitaciones cuando usas los Controles del servicio de VPC con Gemini.
Gemini Code Assist. Para cumplir con los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo que usas no tengan acceso a
https://www.google.com/tools/feedback/mobilea través de políticas de firewall.Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones en Configura los Controles del servicio de VPC y los clústeres privados.
¿Qué sigue?
- Para obtener información sobre las ofertas de cumplimiento en Google Cloud, consulta el Centro de recursos de cumplimiento.