Cette page a été traduite par l'API Cloud Translation.

Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour qu'il soit compatible avec Gemini pour Google Cloud, un collaborateur optimisé par l'IA dans Google Cloud. Pour terminer cette configuration, procédez comme suit:

Mettez à jour le périmètre de service de votre organisation afin d'inclure Gemini. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez la page Détails et configuration du périmètre de service.
Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurez les réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte.

Avant de commencer

Assurez-vous que Gemini est configuré pour votre compte utilisateur et votre projet Google Cloud.
Assurez-vous de disposer des rôles IAM (Identity and Access Management) requis pour configurer et administrer VPC Service Controls.
Assurez-vous de disposer d'un périmètre de service au niveau de l'organisation que vous pouvez utiliser pour configurer Gemini. Si vous ne disposez pas de périmètre de service à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, ajoutez Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les services que vous utilisez avec Gemini et les autres services Google Cloud que vous souhaitez protéger.

Pour ajouter Gemini à votre périmètre de service, procédez comme suit:

Dans Google Cloud Console, accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le nom de votre périmètre.
Cliquez sur Ajouter des ressources et procédez comme suit:
1. Pour chaque projet dans lequel vous avez activé Gemini, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:
  1. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.
    
    Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.
  2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.
2. Pour chaque réseau VPC de vos projets, dans le volet Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:
  1. Dans la liste des projets, cliquez sur le projet contenant le réseau VPC.
  2. Dans la boîte de dialogue Ajouter des ressources, cochez la case du réseau VPC.
  3. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans la section Réseaux VPC.
Cliquez sur Services restreints et procédez comme suit:
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à restreindre, sélectionnez API Cloud AI Companion comme service que vous souhaitez sécuriser dans le périmètre.
  
  Remarque :Nous vous recommandons de limiter tous les services lorsque vous créez un périmètre afin de limiter le risque d'exfiltration de données des services Google Cloud.
3. Cliquez sur Ajouter des services n, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.
Facultatif: Si vos développeurs doivent utiliser Gemini dans le périmètre du plug-in Cloud Code dans leurs IDE, vous devez ajouter l'API Cloud Code à la liste Services restreints et configurer la règle d'entrée.

L'activation de VPC Service Controls pour Gemini empêche tout accès en dehors du périmètre, y compris l'exécution d'extensions IDE Cloud Code à partir de machines ne faisant pas partie du périmètre, comme des ordinateurs portables d'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Gemini avec le plug-in Cloud Code.
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à restreindre, sélectionnez API Cloud Code comme service que vous souhaitez sécuriser dans le périmètre.
3. Cliquez sur Ajouter des services n, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.
4. Cliquez sur Règle d'entrée.
5. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.
6. Dans Attributs "From" du client API, spécifiez les sources situées en dehors du périmètre qui nécessitent un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC en tant que sources.
7. Dans Attributs "To" des ressources/services Google Cloud, spécifiez le nom de service de Gemini et de l'API Cloud Code.
  
  Pour obtenir la liste des attributs des règles d'entrée, consultez la documentation de référence sur les règles d'entrée.
Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez fournir aux développeurs un accès à des ressources protégées depuis l'extérieur du périmètre, définissez des niveaux d'accès:
1. Cliquez sur Niveaux d'accès.
2. Dans le volet Règle d'entrée: niveaux d'accès, sélectionnez le champ Choisir le niveau d'accès.
3. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre.
Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à l'API Cloud AI Companion pour s'assurer qu'ils proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC pour que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard soient automatiquement acheminées vers la plage d'adresses IP virtuelles (VIP) restreintes, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est diffusé. Vous n'avez pas besoin de modifier les configurations dans les extensions de l'IDE Cloud Code.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP limitée:

Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.
Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

Attention :Si les règles de pare-feu ne sont pas correctement configurées, vos services peuvent être vulnérables à l'exfiltration de données.
1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
  
  Remarque :Assurez-vous que la règle de pare-feu de sortie tout refuser a une priorité après 1000. Sinon, le trafic provenant du connecteur d'accès au VPC sans serveur à votre service est bloqué.
2. Créez une règle de sortie autorisée qui autorise le trafic vers 199.36.153.4/30 sur le port TCP 443. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus du trafic sortant que vous venez de créer. Ainsi, la sortie n'est autorisée que vers la plage VIP limitée.
Créez une stratégie de réponse Cloud DNS.
Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes:
- Nom DNS: *.googleapis.com.
- Données locales: restricted.googleapis.com.
- Type d'enregistrement: A
- Valeur TTL: 300
- Données RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  La plage d'adresses IP pour restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes terminées, les requêtes provenant du réseau VPC ne peuvent pas quitter ce réseau, ce qui empêche toute sortie en dehors du périmètre de service. Ces requêtes ne peuvent atteindre que les API et services Google qui vérifient VPC Service Controls, empêchant ainsi l'exfiltration via les API Google.

Configurations supplémentaires

Selon les produits Google Cloud que vous utilisez avec Gemini, vous devez tenir compte des points suivants:

Machines clientes connectées au périmètre. Les machines situées à l'intérieur du périmètre de VPC Service Controls peuvent accéder à toutes les expériences Gemini. Vous pouvez également étendre le périmètre à un réseau Cloud VPN ou Cloud Interconnect autorisé à partir d'un réseau externe.
Machines clientes situées en dehors du périmètre Lorsque vous avez des machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé au service Gemini restreint.
- Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.
- Pour obtenir un exemple de création d'un niveau d'accès sur un réseau d'entreprise, consultez la section Limiter l'accès sur un réseau d'entreprise.
- Consultez les limites d'utilisation de VPC Service Controls avec Gemini.
Gemini Code Assist Pour assurer la conformité avec VPC Service Controls, assurez-vous que l'IDE ou le poste de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via les règles de pare-feu.
Cloud Workstations. Si vous utilisez Cloud Workstations, suivez les instructions de la section Configurer VPC Service Controls et des clusters privés.

Étapes suivantes

Pour en savoir plus sur les offres de conformité de Google Cloud, consultez le Centre de ressources pour la conformité.