Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Duet AI, kolaborator yang didukung AI di Google Cloud. Untuk menyelesaikan konfigurasi ini, lakukan langkah-langkah berikut:
Perbarui perimeter layanan organisasi Anda untuk menyertakan Duet AI. Dokumen ini mengasumsikan bahwa Anda sudah memiliki perimeter layanan di level organisasi. Untuk mengetahui informasi lebih lanjut tentang perimeter layanan, lihat Detail dan konfigurasi perimeter layanan.
Dalam project tempat Anda telah mengaktifkan akses ke Duet AI, konfigurasikan jaringan VPC untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi.
Sebelum memulai
- Pastikan Duet AI sudah disiapkan untuk akun pengguna dan project Google Cloud Anda.
Pastikan Anda memiliki peran Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola Kontrol Layanan VPC.
Pastikan Anda memiliki perimeter layanan di level organisasi yang dapat digunakan untuk menyiapkan Duet AI. Jika tidak memiliki perimeter layanan di tingkat ini, Anda dapat membuatnya.
Tambahkan Duet AI ke perimeter layanan Anda
Untuk menggunakan Kontrol Layanan VPC dengan Duet AI, Anda menambahkan Duet AI ke perimeter layanan di level organisasi. Perimeter layanan harus mencakup semua layanan yang Anda gunakan dengan Duet AI dan layanan Google Cloud lainnya yang ingin Anda lindungi.
Untuk menambahkan Duet AI ke perimeter layanan Anda, ikuti langkah-langkah berikut:
Di konsol Google Cloud, buka halaman VPC Service Controls.
Pilih organisasi Anda.
Di halaman Kontrol Layanan VPC, klik nama perimeter Anda.
Klik Tambahkan Referensi, lalu lakukan tindakan berikut:
Untuk setiap project di mana Anda telah mengaktifkan Duet AI, di panel Add resources, klik Add project, lalu lakukan hal berikut:
Pada dialog Add projects, pilih project yang ingin ditambahkan.
Jika Anda menggunakan VPC Bersama, tambahkan project host dan project layanan ke perimeter layanan.
Klik Tambahkan fasilitas yang dipilih. Project yang ditambahkan akan muncul di bagian Project.
Untuk setiap jaringan VPC di project Anda, di panel Add resources, klik Add VPC network, lalu lakukan hal berikut:
Dari daftar project, klik project yang berisi jaringan VPC.
Dalam dialog Add resources, pilih kotak centang jaringan VPC.
Klik Tambahkan fasilitas yang dipilih. Jaringan yang ditambahkan akan muncul di bagian Jaringan VPC.
Klik Layanan yang Dibatasi dan lakukan tindakan berikut:
Di panel Restricted Services, klik Add services.
Pada dialog Specify services to restricted, pilih Duet AI sebagai layanan yang ingin Anda amankan di dalam perimeter.
Klik Tambahkan layanan n, dengan n adalah jumlah layanan yang Anda pilih di langkah sebelumnya.
Opsional: Jika developer Anda perlu menggunakan Duet AI dalam perimeter dari plugin Cloud Code di IDE mereka, konfigurasikan kebijakan ingress.
Mengaktifkan Kontrol Layanan VPC untuk Duet AI akan mencegah semua akses dari luar perimeter, termasuk menjalankan ekstensi IDE Cloud Code dari mesin yang tidak berada di dalam perimeter, seperti laptop perusahaan. Oleh karena itu, kebijakan ingress harus dikonfigurasi jika Anda ingin menggunakan Duet AI dengan plugin Cloud Code.
Klik Kebijakan Ingress.
Di panel Ingress rules, klik Add rule.
Di bagian Dari atribut klien API, tentukan sumber dari luar perimeter yang memerlukan akses. Anda dapat menentukan project, tingkat akses, dan jaringan VPC sebagai sumber.
Di bagian To attribute of Google Cloud resources/services, tentukan nama layanan Duet AI.
Untuk mengetahui daftar atribut aturan masuk, lihat Referensi aturan masuk.
Opsional: Jika organisasi Anda menggunakan Access Context Manager dan ingin memberi developer akses ke resource yang dilindungi dari luar perimeter, tetapkan tingkat akses:
Klik Tingkat Akses.
Di panel Ingress Policy: Access Levels, pilih kolom Choose Access Level.
Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter.
Klik Simpan.
Setelah Anda menyelesaikan langkah-langkah ini, Kontrol Layanan VPC akan memeriksa semua panggilan ke Duet AI API untuk memastikan bahwa panggilan tersebut berasal dari dalam perimeter yang sama.
Mengonfigurasi jaringan VPC
Anda perlu mengonfigurasi jaringan VPC agar permintaan yang dikirim ke IP virtual googleapis.com
reguler akan otomatis dirutekan ke rentang IP virtual (VIP) terbatas, 199.36.153.4/30
(restricted.googleapis.com
), tempat layanan Duet AI Anda melayani. Anda tidak perlu mengubah konfigurasi apa pun di ekstensi Cloud Code IDE.
Untuk setiap jaringan VPC dalam project Anda, ikuti langkah-langkah berikut untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi:
Aktifkan Akses Google Pribadi di subnet yang menghosting resource jaringan VPC Anda.
Konfigurasi aturan firewall untuk mencegah data keluar dari jaringan VPC.
Buat penolakan akan egress yang memblokir semua traffic keluar.
Buat aturan izinkan traffic keluar yang mengizinkan traffic ke
199.36.153.4/30
di port TCP443
. Pastikan aturan izinkan traffic keluar memiliki prioritas sebelum aturan penolakan traffic keluar yang baru saja Anda buat—tindakan ini hanya mengizinkan traffic keluar ke rentang VIP yang dibatasi.
Buat aturan untuk kebijakan respons guna menyelesaikan
*.googleapis.com
kerestricted.googleapis.com
dengan nilai berikut:Nama DNS:
*.googleapis.com.
Data lokal:
restricted.googleapis.com.
Jenis kumpulan data:
A
TTL:
300
Data RR:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
Rentang alamat IP untuk
restricted.googleapis.com
adalah199.36.153.4/30
.
Setelah Anda menyelesaikan langkah-langkah ini, permintaan yang berasal dari dalam jaringan VPC tidak dapat keluar dari jaringan VPC, sehingga mencegah traffic keluar di luar perimeter layanan. Permintaan ini hanya dapat menjangkau Google API dan layanan yang memeriksa Kontrol Layanan VPC, sehingga mencegah pemindahan yang tidak sah melalui Google API.
Konfigurasi tambahan
Bergantung pada produk Google Cloud yang Anda gunakan dengan Duet AI, Anda harus mempertimbangkan hal-hal berikut:
Mesin klien yang terhubung ke perimeter. Mesin yang berada di dalam perimeter Kontrol Layanan VPC dapat mengakses semua pengalaman Duet AI. Anda juga dapat memperluas perimeter ke Cloud VPN atau Cloud Interconnect yang diizinkan dari jaringan eksternal.
Komputer klien di luar perimeter. Jika Anda memiliki mesin klien di luar perimeter layanan, Anda dapat memberikan akses terkontrol ke layanan Duet AI yang dibatasi.
Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Untuk contoh cara membuat tingkat akses di jaringan perusahaan, lihat Membatasi akses di jaringan perusahaan.
Tinjau batasan saat menggunakan Kontrol Layanan VPC dengan Duet AI.
Duet AI untuk Developer. Untuk mematuhi Kontrol Layanan VPC, pastikan IDE atau workstation yang Anda gunakan tidak memiliki akses ke
https://www.google.com/tools/feedback/mobile
melalui kebijakan firewall.Workstation Cloud. Jika Anda menggunakan Cloud Workstations, ikuti petunjuk di Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi.
Langkah selanjutnya
- Untuk mengetahui informasi tentang penawaran kepatuhan di Google Cloud, lihat Pusat referensi kepatuhan.