Configurar o VPC Service Controls para o Gemini

Neste documento, mostramos como configurar VPC Service Controls para dar suporte Gemini para Google Cloud, um colaborador com tecnologia de IA no Google Cloud. Para concluir essa configuração, faça o seguinte:

1. Atualize o perímetro de serviço da sua organização para incluir o Gemini. Neste documento, presumimos que você já tenha um perímetro de serviço no no nível da organização. Para mais informações sobre perímetros de serviço, consulte Detalhes do perímetro de serviço e do Terraform.

2. Nos projetos em que você ativou o acesso ao Gemini, configurar redes VPC para bloquear o tráfego de saída, exceto tráfego para o intervalo VIP restrito.

Antes de começar

1. Verifique se o Gemini está configurado para sua conta de usuário e projeto do Google Cloud.

2. Verifique se você tem o Identity and Access Management (IAM) papéis para configurar e administrar VPC Service Controls.

3. Tenha um perímetro de serviço no nível da organização pode usar para configurar o Gemini. Se você não tiver um serviço perímetro neste nível, é possível criar um.

Adicionar o Gemini ao seu perímetro de serviço

Para usar o VPC Service Controls com o Gemini, adicione o Gemini ao perímetro de serviço no nível da organização. O perímetro de serviço precisa incluir os serviços que você usa com o Gemini e outros serviços do Google Cloud que você quer proteger.

Para adicionar o Gemini ao seu perímetro de serviço, siga estas etapas:

1. No console do Google Cloud, acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

2. Selecione a organização.

3. Na página VPC Service Controls, clique no nome do perímetro.

4. Clique em Adicionar recursos e faça o seguinte:

   1. Para cada projeto em que você ativou o Gemini, na No painel Adicionar recursos, clique em Adicionar projeto e faça o seguinte:

      1. Na caixa de diálogo Adicionar projetos, selecione os projetos que você quer adicionar.

         Se você estiver usando a VPC compartilhada, adicione o host projetos de serviço e projetos de serviço ao perímetro de serviço.

      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projetos nesta seção.

   2. Para cada rede VPC dos projetos, na seção Adicionar de recursos, clique em Adicionar rede VPC e faça o seguinte:

      1. Na lista de projetos, clique no projeto que contém a VPC em uma rede VPC.

      2. Na caixa de diálogo Adicionar recursos, marque a caixa de seleção da rede VPC.

      3. Clique em Adicionar recursos selecionados. A rede adicionada aparece no campo VPC de rede.

5. Clique em Serviços restritos e faça o seguinte:

   1. No painel Serviços restritos, clique em Adicionar serviços.

   2. Na caixa de diálogo Especificar serviços a serem restritos, selecione API Cloud AI Companion como o serviço que você quer proteger dentro do perímetro.

   3. Clique em Adicionar n serviços, em que n é o número de serviços selecionados na etapa anterior.

6. Opcional: se os desenvolvedores precisarem usar o Gemini no do plug-in Cloud Code nos ambientes de desenvolvimento integrado, adicione a API Cloud Code à lista Serviços restritos e configure a política de entrada.

   Ativar o VPC Service Controls para Gemini impede que acesso de fora do perímetro, incluindo a execução do ambiente de desenvolvimento integrado do Cloud Code extensões de máquinas que não estão no perímetro, como laptops da empresa. Portanto, essas etapas são necessárias se você quiser usar Gemini com o plug-in do Cloud Code.

   1. No painel Serviços restritos, clique em Adicionar serviços.

   2. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Cloud Code como o serviço que você quer proteger; dentro do perímetro.

   3. Clique em Adicionar n serviços, em que n é o número de serviços selecionados na etapa anterior.

   4. Clique em Política de entrada.

   5. No painel Regras de entrada, clique em Adicionar regra.

   6. Em De atributos do cliente da API, especifique as origens de fora da de serviço que exigem acesso. É possível especificar projetos, níveis de acesso e redes VPC como origens.

   7. Em Para atributos de recursos/serviços do Google Cloud, especifique o serviço Gemini e API Cloud Code.

      Para uma lista de atributos da regra de entrada, consulte Regras de entrada como referência.

7. Opcional: caso sua organização use Access Context Manager e que você quiser fornecer dos desenvolvedores a recursos protegidos de fora do perímetro definir os níveis de acesso:

   1. Clique em Níveis de acesso.

   2. No painel Ingress Policy: Access Levels, selecione a opção Escolher acesso Level.

   3. Marque as caixas de seleção correspondentes aos níveis de acesso que você deseja para aplicar ao perímetro.

8. Clique em Salvar.

Depois que você concluir essas etapas, o VPC Service Controls vai verificar todas as chamadas para o a API Cloud AI Companion para garantir que eles se originem no mesmo perímetro de serviço.

Configurar redes VPC

Você precisa configurar suas redes VPC para que as solicitações enviadas para o IP virtual googleapis.com normal são roteadas automaticamente para o IP virtual restrito (VIP) intervalo, 199.36.153.4/30 (restricted.googleapis.com), onde seu serviço do Gemini está disponibilização. Não é preciso alterar as configurações no Cloud Code extensões de ambiente de desenvolvimento integrado.

Para cada rede VPC do projeto, siga as etapas abaixo para bloquear tráfego de saída, exceto o tráfego para o intervalo VIP restrito:

1. Ative o Acesso privado do Google nas sub-redes que hospedam os recursos da rede VPC.

2. Configurar firewall regras para evitar que os dados saiam da rede VPC.

   1. Crie uma regra de saída de negação que bloqueie todo o tráfego de saída.

   2. Crie uma regra de permissão de saída que permita o tráfego para 199.36.153.4/30 no TCP porta 443. Verifique se a regra de saída de permissão tem uma prioridade antes da negação de saída que você acabou de criar. Isso permite a saída apenas para a intervalo VIP restrito.

3. Crie uma política de resposta do Cloud DNS.

4. Criar uma regra para a resposta política para resolver *.googleapis.com para restricted.googleapis.com com o seguintes valores:

   • Nome DNS: *.googleapis.com.

   • Dados locais: restricted.googleapis.com.

   • Tipo de registro: A

   • TTL: 300

   • Dados de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

     O intervalo de endereços IP para restricted.googleapis.com é 199.36.153.4/30.

Depois de concluir essas etapas, as solicitações originadas do rede VPC não podem sair da rede VPC, impedindo a saída fora do perímetro de serviço. Essas solicitações só podem alcançar APIs e serviços do Google que verificam o VPC Service Controls, impedindo que exfiltração por meio de APIs do Google.

Outras configurações

Dependendo dos produtos do Google Cloud que você usa com Gemini, considere o seguinte:

• Máquinas do cliente conectadas ao perímetro. As máquinas que estão no O perímetro do VPC Service Controls pode acessar todas as políticas experiências Também é possível estender o perímetro até um Cloud VPN ou o Cloud Interconnect por um externa.

• Máquinas do cliente fora do perímetro. Quando você tem máquinas clientes fora do perímetro de serviço, é possível conceder acesso controlado à serviço restrito do Gemini.

  • Para mais informações, consulte Permitir o acesso a recursos protegidos de fora de um perímetro.

  • Para ver um exemplo de como criar um nível de acesso em uma rede corporativa, consulte Limitar o acesso em uma rede.

  • Analise o limitações ao usar o VPC Service Controls com o Gemini.

• Gemini Code Assist. Para conformidade com VPC Service Controls, verifique se o ambiente de desenvolvimento integrado ou a estação de trabalho que você está usando não tem acesso a https://www.google.com/tools/feedback/mobile por meio de políticas de firewall.

• Cloud Workstations. Se você usa o Cloud Workstations, siga as instruções em Configurar VPC Service Controls clusters.

A seguir

• Para informações sobre as ofertas de conformidade do Google Cloud, consulte Central de recursos de compliance.