Configura los Controles del servicio de VPC para Gemini

En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir Gemini para Google Cloud, un colaborador potenciado por IA en Google Cloud. Para completar esta configuración, haz lo siguiente:

1. Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento, se supone que ya tienes un perímetro de servicio a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.

2. En los proyectos en los que habilitaste el acceso a Gemini, configura las redes de VPC para bloquear el tráfico saliente, excepto el que se dirige al rango de VIP restringido.

Antes de comenzar

1. Asegúrate de que Gemini Code Assist esté configurado para tu cuenta de usuario y proyecto de Google Cloud.

2. Asegúrate de tener los roles de Identity and Access Management (IAM) necesarios para configurar y administrar los Controles del servicio de VPC.

3. Asegúrate de tener un perímetro de servicio a nivel de la organización que puedas usar para configurar Gemini. Si no tienes en este nivel, puedes crear uno.

Agrega Gemini a tu perímetro de servicio

Para usar los Controles del servicio de VPC con Gemini, debes agregar Gemini al perímetro de servicio a nivel de la organización. Debe incluir todos los servicios que usas con Gemini y otros servicios de Google Cloud que deseas proteger.

Para agregar Gemini a tu perímetro de servicio, lleva a cabo estos pasos:

1. En la consola de Google Cloud , ve a la página Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

2. Selecciona tu organización.

3. En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.

4. Haz clic en Agregar recursos y haz lo siguiente:

   1. Para cada proyecto en el que habilitaste Gemini, en el panel Agregar recursos, haz clic en Agregar proyecto y, luego, haz lo siguiente:

   2. En el cuadro de diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.

      Si usas la VPC compartida, agrega el proyecto host y los proyectos de servicio al perímetro de servicio.

   3. Haz clic en Agregar los recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.

   4. Para cada red de VPC en tus proyectos, en el panel Agregar recursos, haz clic en Agregar red de VPC y, luego, haz lo siguiente:

   5. En la lista de proyectos, haz clic en el proyecto que contiene la red de VPC.

   6. En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.

   7. Haz clic en Agregar los recursos seleccionados. La red agregada aparece en la sección Redes de VPC.

5. Haz clic en Servicios restringidos y haz lo siguiente:

   1. En el panel Servicios restringidos, haz clic en Agregar servicios.

   2. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona API de Gemini for Google Cloud y API de Gemini Code Assist como los servicios que deseas proteger dentro del perímetro.

   3. Si planeas usar la personalización de código, selecciona también la API de Developer Connect. Para obtener más información sobre Developer Connect, consulta Descripción general de Developer Connect.

      Para obtener información sobre cómo usar las restricciones personalizadas del servicio de políticas de la organización para restringir operaciones específicas en developerconnect.googleapis.com/Connection y developerconnect.googleapis.com/GitRepositoryLink, consulta Crea políticas de la organización personalizadas.

   1. Haz clic en Agregar n servicios, en donde n es la cantidad de servicios que seleccionaste en el paso anterior.

6. Opcional: si tus desarrolladores necesitan usar Gemini dentro del perímetro desde el complemento de Cloud Code en sus IDE, deberás configurar la política de entrada.

   Habilitar los Controles del servicio de VPC para Gemini impide todo acceso desde fuera del perímetro, incluida la ejecución de extensiones del IDE de Gemini Code Assist desde máquinas que no están en el perímetro, como las laptops de la empresa. Por lo tanto, estos pasos son necesarios si quieres usar Gemini con el complemento de Gemini Code Assist.

   1. Haz clic en Política de entrada.

   2. En el panel Reglas de entrada, haz clic en Agregar regla.

   3. En Atributos FROM del cliente de la API, especifica las fuentes externas al perímetro que requieren acceso. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.

   4. En Atributos TO de los recursos y servicios de Google Cloud , especifica el nombre del servicio de Gemini y la API de Gemini Code Assist.

   Para obtener una lista de los atributos de reglas de entrada, consulta la Referencia de reglas de entrada.

7. Opcional: si tu organización usa Access Context Manager y quieres brindar acceso a los desarrolladores a recursos protegidos desde fuera del perímetro, configura los niveles de acceso:

   1. Haz clic en Niveles de acceso.

   2. En el panel Política de entrada: Niveles de acceso, selecciona el campo Elegir nivel de acceso.

   3. Selecciona las casillas de verificación que correspondan a los niveles de acceso que deseas aplicar al perímetro.

8. Haz clic en Guardar.

Después de completar estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la API de Gemini for Google Cloud para garantizar que se originen dentro del mismo perímetro.

Configura redes de VPC

Debes configurar tus redes de VPC para que las solicitudes que se envían a la IP virtual normal googleapis.com se enruten automáticamente al rango de IP virtual restringido (VIP), 199.36.153.4/30 (restricted.googleapis.com), en el que se entrega tu servicio de Gemini. No es necesario que cambies ninguna configuración en las extensiones del IDE de Gemini Code Assist.

Sigue estos pasos para bloquear el tráfico de salida de cada red de VPC en tu proyecto, excepto el que se dirige al rango de VIP restringido:

1. Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.

2. Configura las reglas de firewall para evitar que los datos abandonen la red de VPC.

   1. Crea una regla de denegación de salida que bloquee todo el tráfico saliente.
   1. Crea una regla de permiso de salida que admita el tráfico hacia 199.36.153.4/30 en el puerto TCP 443. Asegúrate de que la regla de permiso de salida tenga prioridad antes de la regla de denegación de salida que acabas de crear. Esto permite la salida solo al rango de VIP restringido.

3. Crea una política de respuesta de Cloud DNS.

4. Crea una regla para la política de respuesta con el objetivo de resolver *.googleapis.com en restricted.googleapis.com con los siguientes valores:

   • Nombre de DNS: *.googleapis.com.

   • Datos locales: restricted.googleapis.com.

   • Tipo de registro: A

   • TTL: 300

   • Datos de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   El rango de direcciones IP de restricted.googleapis.com es 199.36.153.4/30.

Después de completar estos pasos, las solicitudes que se originan en la red de VPC no podrán salir de ella, lo que impedirá la salida fuera del perímetro de servicio. Estas solicitudes solo pueden llegar a las APIs y los servicios de Google que cumplen con los Controles del servicio de VPC, lo que evita el robo de datos a través de las APIs de Google.

Parámetros de configuración adicionales

Según los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:

• Máquinas cliente conectadas al perímetro. Las máquinas que se encuentran dentro del perímetro de los Controles del servicio de VPC pueden acceder a todas las experiencias de Gemini. También puedes extender el perímetro a una Cloud VPN o Cloud Interconnect autorizadas desde una red externa.

• Máquinas cliente fuera del perímetro. Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio restringido de Gemini.

  • Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.

  • Para ver un ejemplo de cómo crear un nivel de acceso en una red corporativa, consulta Limita el acceso en una red corporativa.

  • Revisa las limitaciones cuando uses los Controles del servicio de VPC con Gemini.

• Gemini Code Assist. Para cumplir con los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo que usas no tengan acceso a https://www.google.com/tools/feedback/mobile a través de las políticas de firewall.

• Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones que se indican en Configura los Controles del servicio de VPC y los clústeres privados.

¿Qué sigue?

• Para obtener información sobre las ofertas de cumplimiento en Google Cloud, consulta Centro de recursos de cumplimiento.