Gemini의 VPC 서비스 제어 구성

이 문서에서는 Google Cloud의 AI 기반 공동작업 도구인 Google Cloud를 위한 Gemini를 지원하도록 VPC 서비스 제어를 구성하는 방법을 설명합니다. 이 구성을 완료하려면 다음을 수행합니다.

  1. Gemini를 포함하도록 조직의 서비스 경계를 업데이트합니다. 이 문서에서는 이미 조직 수준의 서비스 경계가 있다고 가정합니다. 서비스 경계에 대한 자세한 내용은 서비스 경계 세부정보 및 구성을 참조하세요.

  2. Gemini에 대한 액세스를 사용 설정한 프로젝트에서 제한된 VIP 범위에 대한 트래픽을 제외한 아웃바운드 트래픽을 차단하도록 VPC 네트워크를 구성합니다.

시작하기 전에

  1. Gemini가 Google Cloud 사용자 계정과 프로젝트에 설정되어 있는지 확인합니다.
  2. VPC 서비스 제어를 설정하고 관리하는 데 필요한 Identity and Access Management(IAM) 역할이 있는지 확인합니다.

  3. Gemini를 설정하는 데 사용할 수 있는 조직 수준의 서비스 경계가 있는지 확인합니다. 이 수준의 서비스 경계가 없는 경우 이를 만들 수 있습니다.

서비스 경계에 Gemini 추가

Gemini와 함께 VPC 서비스 제어를 사용하려면 조직 수준의 서비스 경계에 Gemini를 추가합니다. 서비스 경계에는 Gemini 및 보호하려는 다른 Google Cloud 서비스와 함께 사용하는 모든 서비스가 포함되어야 합니다.

Gemini를 서비스 경계에 추가하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

  2. 조직을 선택합니다.

  3. VPC 서비스 제어 페이지에서 경계 이름을 클릭합니다.

  4. 리소스 추가를 클릭하고 다음을 수행합니다.

    1. Gemini를 사용 설정한 프로젝트마다 리소스 추가 창에서 프로젝트 추가를 클릭한 후 다음을 수행합니다.

      1. 프로젝트 추가 대화상자에서 추가할 프로젝트를 선택합니다.

        공유 VPC를 사용하는 경우 호스트 프로젝트와 서비스 프로젝트를 서비스 경계에 추가합니다.

      2. 선택한 리소스 추가를 클릭합니다. 추가된 프로젝트는 프로젝트 섹션에 나타납니다.

    2. 프로젝트의 각 VPC 네트워크에 대해 리소스 추가 창에서 VPC 네트워크 추가를 클릭한 후 다음을 수행합니다.

      1. 프로젝트 목록에서 VPC 네트워크가 포함된 프로젝트를 클릭합니다.

      2. 리소스 추가 대화상자에서 VPC 네트워크 체크박스를 선택합니다.

      3. 선택한 리소스 추가를 클릭합니다. 추가된 네트워크가 VPC 네트워크 섹션에 표시됩니다.

  5. 제한된 서비스를 클릭하고 다음을 수행합니다.

    1. 제한된 서비스 창에서 서비스 추가를 클릭합니다.

    2. 제한할 서비스 지정 대화상자에서 Google Cloud를 위한 Gemini API를 경계 내에서 보호할 서비스로 선택합니다.

    3. n 서비스 추가를 클릭합니다. 여기에서 n은 이전 단계에서 선택한 서비스 수입니다.

  6. 선택사항: 개발자가 IDE의 Cloud Code 플러그인을 통해 경계 내에서 Gemini를 사용해야 하는 경우 Cloud Code API제한된 서비스 목록에 추가하고 인그레스 정책을 구성합니다.

    Gemini에 VPC 서비스 제어를 사용 설정하면 회사 노트북과 같이 경계에 있지 않은 머신에서 Cloud Code IDE 확장 프로그램 실행을 포함하여 경계 외부에서의 모든 액세스가 차단됩니다. 따라서 Cloud Code 플러그인과 함께 Gemini를 사용하려면 이 단계가 필요합니다.

    1. 제한된 서비스 창에서 서비스 추가를 클릭합니다.

    2. 제한할 서비스 지정 대화상자에서 Cloud Code API를 경계 내에서 보호할 서비스로 선택합니다.

    3. n 서비스 추가를 클릭합니다. 여기에서 n은 이전 단계에서 선택한 서비스 수입니다.

    4. 인그레스 정책을 클릭합니다.

    5. 인그레스 규칙 창에서 규칙 추가를 클릭합니다.

    6. API 클라이언트의 From 속성에서 액세스해야 하는 경계 외부의 소스를 지정합니다. 프로젝트, 액세스 수준, VPC 네트워크를 소스로 지정할 수 있습니다.

    7. Google Cloud 리소스/서비스의 To 속성에서 Gemini 및 Cloud Code API의 서비스 이름을 지정합니다.

      인그레스 규칙 속성 목록은 인그레스 규칙 참조를 확인하세요.

  7. 선택사항: 조직에서 Access Context Manager를 사용하고 개발자에게 경계 외부에서 보호된 리소스에 대한 액세스 권한을 제공하려면 액세스 수준을 다음과 같이 설정합니다.

    1. 액세스 수준을 클릭합니다.

    2. 인그레스 정책: 액세스 수준 창에서 액세스 수준 선택 필드를 선택합니다.

    3. 서비스 경계에 적용하려는 액세스 수준에 해당하는 체크박스를 선택합니다.

  8. 저장을 클릭합니다.

이 단계를 완료하면 VPC 서비스 제어가 Google Cloud를 위한 Gemini API에 대한 모든 호출이 같은 경계 내에서 발생했는지 확인합니다.

VPC 네트워크 구성

일반 googleapis.com 가상 IP로 전송된 요청이 자동으로 Gemini 서비스가 제공되는 제한된 가상 IP(VIP) 범위199.36.153.4/30(restricted.googleapis.com)으로 라우팅되도록 VPC 네트워크를 구성해야 합니다. Cloud Code IDE 확장 프로그램에서는 구성을 변경할 필요가 없습니다.

프로젝트의 VPC 네트워크마다 제한된 VIP 범위에 대한 트래픽을 제외한 아웃바운드 트래픽을 차단하려면 다음 단계를 따르세요.

  1. VPC 네트워크 리소스를 호스팅하는 서브넷에서 비공개 Google 액세스를 사용 설정합니다.

  2. 데이터가 VPC 네트워크에서 나가는 것을 방지하도록 방화벽 규칙을 구성합니다.

    1. 모든 아웃바운드 트래픽을 차단하는 이그레스 거부 규칙을 만듭니다.

    2. TCP 포트 443199.36.153.4/30으로 트래픽을 허용하는 이그레스 허용 규칙을 만듭니다. 방금 만든 이그레스 거부 규칙보다 이그레스 허용 규칙에 우선순위가 높은지 확인합니다. 그래야 제한된 VIP 범위로만 이그레스가 허용됩니다.

  3. Cloud DNS 응답 정책을 만듭니다.

  4. 다음 값을 사용하여 *.googleapis.comrestricted.googleapis.com으로 변환하는 응답 정책 규칙을 만듭니다.

    • DNS 이름: *.googleapis.com.

    • 로컬 데이터: restricted.googleapis.com.

    • 레코드 유형: A

    • TTL: 300

    • RR 데이터: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      restricted.googleapis.com의 IP 주소 범위는 199.36.153.4/30입니다.

이 단계를 완료하면 VPC 네트워크 내에서 발생한 요청이 VPC 네트워크를 나갈 수 없으므로 서비스 경계 외부의 이그레스가 차단됩니다. 이러한 요청은 VPC 서비스 제어를 검사하는 Google API 및 서비스에만 도달하므로 Google API를 통한 유출을 방지합니다.

추가 구성

Gemini와 함께 사용하는 Google Cloud 제품에 따라 다음 사항을 고려해야 합니다.

  • 경계에 연결된 클라이언트 머신 VPC 서비스 제어 경계 내에 있는 머신은 모든 Gemini 환경에 액세스할 수 있습니다. 경계를 외부 네트워크에서 승인된 Cloud VPN 또는 Cloud Interconnect로 확장할 수도 있습니다.

  • 경계 외부의 클라이언트 머신 서비스 경계 외부에 클라이언트 머신이 있으면 제한된 Gemini 서비스에 대한 제어된 액세스 권한을 부여할 수 있습니다.

  • Gemini Code Assist. VPC 서비스 제어 규정 준수를 위해서는 사용 중인 IDE 또는 워크스테이션에 방화벽 정책을 통한 https://www.google.com/tools/feedback/mobile 액세스 권한이 없어야 합니다.

  • Cloud Workstations. Cloud Workstations를 사용하는 경우 VPC 서비스 제어 및 비공개 클러스터 구성의 안내를 따르세요.

다음 단계