Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour prendre en charge Gemini pour Google Cloud, un collaborateur optimisé par l'IA dans Google Cloud. Pour mettre en place cette configuration, procédez comme suit :

Mettez à jour le périmètre de service de votre organisation de façon à inclure Gemini. Ce document part du principe que vous disposez déjà d'un périmètre de service au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez la page Périmètres de service : détails et configuration.
Dans les projets où vous avez autorisé l'accès à Gemini, configurez les réseaux VPC de manière à bloquer le trafic sortant, hormis celui à destination de la plage VIP restreinte.

Avant de commencer

Assurez-vous que Gemini Code Assist est configuré pour votre compte utilisateur et votre projet Google Cloud.
Assurez-vous de disposer des rôles IAM (Identity and Access Management) requis pour configurer et administrer VPC Service Controls.
Assurez-vous de disposer d'un périmètre de service au niveau de l'organisation qu'il est possible d'utiliser pour configurer Gemini. Si vous n'avez pas de périmètre de service à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini à votre périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les services que vous utilisez avec Gemini, ainsi que les autres services Google Cloud que vous souhaitez protéger.

Pour ajouter Gemini à votre périmètre de service, suivez ces étapes :

Dans la console Google Cloud , accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le nom de votre périmètre.
Cliquez sur Ajouter des ressources, puis procédez comme suit :
1. Pour chaque projet où vous avez activé Gemini, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit :
2. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.
  
  Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.
3. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.
4. Pour chaque réseau VPC de vos projets, dans le volet Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit :
5. Dans la liste des projets, cliquez sur celui qui contient le réseau VPC.
6. Dans la boîte de dialogue Ajouter des ressources, cochez la case du réseau VPC.
7. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans la section Réseaux VPC.
Cliquez sur Services restreints, puis procédez comme suit :
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Gemini pour Google Cloud et l'API Gemini Code Assist en tant que services à sécuriser au sein du périmètre.
3. Si vous prévoyez d'utiliser la personnalisation du code, sélectionnez également l'API Developer Connect. Pour en savoir plus sur Developer Connect, consultez la page Présentation de Developer Connect.
  
  Pour apprendre à utiliser les contraintes personnalisées du service de règles d'administration afin de restreindre des opérations spécifiques sur developerconnect.googleapis.com/Connection et developerconnect.googleapis.com/GitRepositoryLink, consultez la page Créer des règles d'administration personnalisées.
Remarque : Nous vous recommandons de limiter tous les services lorsque vous créez un périmètre pour limiter le risque d'exfiltration de données des services Google Cloud.
1. Cliquez sur Ajouter n services, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.
Facultatif : Si vos développeurs doivent utiliser Gemini dans le périmètre à partir du plug-in Cloud Code dans leurs IDE, vous devez configurer la règle d'entrée.

L'activation de VPC Service Controls pour Gemini empêche tous les accès depuis l'extérieur du périmètre, y compris l'exécution des extensions d'IDE Gemini Code Assist à partir de machines situées en dehors du périmètre, telles que les ordinateurs portables d'entreprise. Ces étapes sont donc nécessaires si vous souhaitez utiliser Gemini avec le plug-in Gemini Code Assist.
1. Cliquez sur Règle d'entrée.
2. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.
3. Dans Attributs "FROM" du client API, spécifiez les sources extérieures au périmètre qui nécessitent un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC en tant que sources.
4. Dans Attributs "TO" des ressources/services Google Cloud , spécifiez le nom de service de Gemini et l'API Gemini Code Assist.
Pour obtenir la liste des attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.
Facultatif : Si votre organisation utilise Access Context Manager et que vous souhaitez autoriser les développeurs à accéder aux ressources protégées depuis l'extérieur du périmètre, définissez des niveaux d'accès :
1. Cliquez sur Niveaux d'accès.
2. Dans le volet Règle d'entrée : niveaux d'accès, sélectionnez le champ Choisir un niveau d'accès.
3. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre.
Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à l'API Gemini pour Google Cloud pour s'assurer qu'ils proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC de sorte que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard sont automatiquement acheminées vers la plage d'adresses IP virtuelles restreinte, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est exécuté. Vous n'avez pas besoin de modifier la configuration des extensions d'IDE Gemini Code Assist.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte :

Activez l'Accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.
Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

Attention : Une mauvaise configuration des règles de pare-feu peut exposer vos services à l'exfiltration de données.
1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
Remarque : Assurez-vous que la règle de sortie du pare-feu "Tout refuser" a une priorité supérieure à 1000, sans quoi le trafic en provenance du connecteur d'accès au VPC sans serveur est bloqué vers votre service.
1. Créez une règle de sortie autorisée qui permet l'acheminement du trafic vers 199.36.153.4/30 sur le port TCP 443. Assurez-vous que la règle de sortie autorisée est prioritaire sur la règle de refus du trafic de sortie que vous venez de créer afin que les sorties vers la plage VIP restreinte soient les seules autorisées.
Créez une stratégie de réponse Cloud DNS.
Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes :
- Nom DNS : *.googleapis.com.
- Données locales : restricted.googleapis.com.
- Type d'enregistrement : A
- Valeur TTL : 300
- Données RR : 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
La plage d'adresses IP de restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes effectuées, les requêtes provenant de l'intérieur du réseau VPC ne peuvent pas le quitter, ce qui empêche la sortie en dehors du périmètre de service. Ces requêtes ne peuvent atteindre que les API et les services Google qui contrôlent VPC Service Controls, empêchant ainsi les risques d'exfiltration via Google APIs.

Configurations supplémentaires

Selon les produits Google Cloud que vous utilisez avec Gemini, vous devez tenir compte des points suivants :

Machines clientes connectées au périmètre. Les machines situées au sein du périmètre de VPC Service Controls ont accès à toutes les expériences Gemini. Vous pouvez également étendre le périmètre à une connexion Cloud VPN ou Cloud Interconnect autorisée à partir d'un réseau externe.
Machines clientes en dehors du périmètre. Lorsque vous disposez de machines clientes extérieures au périmètre de service, vous pouvez accorder un accès contrôlé au service Gemini restreint.
- Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.
- Pour voir un exemple montrant comment créer un niveau d'accès sur un réseau d'entreprise, consultez la section Limiter l'accès sur un réseau d'entreprise.
- Vérifiez les limites applicables à l'utilisation de VPC Service Controls avec Gemini.
Gemini Code Assist. Pour respecter les exigences de VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'ont pas accès à https://www.google.com/tools/feedback/mobile via les stratégies de pare-feu.
Cloud Workstations. Si vous utilisez Cloud Workstations, suivez les instructions de la section Configurer VPC Service Controls et les clusters privés.

Étapes suivantes

Pour en savoir plus sur les offres de conformité dans Google Cloud, consultez le centre de ressources pour la conformité.