Mengonfigurasi Kontrol Layanan VPC untuk Gemini

Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Gemini untuk Google Cloud, kolaborator yang didukung AI di Google Cloud. Untuk menyelesaikan konfigurasi ini, Anda harus melakukan hal berikut:

1. Perbarui perimeter layanan organisasi Anda untuk menyertakan Gemini. Dokumen ini mengasumsikan bahwa Anda sudah memiliki perimeter layanan di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang perimeter layanan, lihat Detail dan konfigurasi perimeter layanan.

2. Di project yang telah mengaktifkan akses ke Gemini, konfigurasikan jaringan VPC untuk memblokir traffic keluar kecuali traffic ke rentang VIP yang dibatasi.

Sebelum memulai

1. Pastikan Gemini Code Assist disiapkan untuk akun pengguna dan project Google Cloud Anda.

2. Pastikan Anda memiliki peran Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola Kontrol Layanan VPC.

3. Pastikan Anda memiliki perimeter layanan di tingkat organisasi yang dapat Anda gunakan untuk menyiapkan Gemini. Jika tidak memiliki perimeter layanan pada tingkat ini, Anda dapat membuatnya.

Menambahkan Gemini ke perimeter layanan

Untuk menggunakan Kontrol Layanan VPC dengan Gemini, Anda menambahkan Gemini ke perimeter layanan di tingkat organisasi. Perimeter layanan harus mencakup semua layanan yang Anda gunakan dengan Gemini dan layanan Google Cloud lainnya yang ingin Anda lindungi.

Untuk menambahkan Gemini ke perimeter layanan Anda, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

2. Pilih organisasi Anda.

3. Di halaman Kontrol Layanan VPC, klik nama perimeter Anda.

4. Klik Tambahkan Fasilitas, lalu lakukan tindakan berikut:

   1. Untuk setiap project tempat Anda mengaktifkan Gemini, di panel Add resources, klik Add project, lalu lakukan hal berikut:

   2. Pada dialog Tambahkan project, pilih project yang ingin Anda tambahkan.

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the
      

      project host dan project layanan ke perimeter layanan.

   3. Klik Tambahkan referensi yang dipilih. Project yang ditambahkan akan muncul di bagian Project.

   4. Untuk setiap jaringan VPC dalam project Anda, di panel Tambahkan resource, klik Tambahkan jaringan VPC, lalu lakukan hal berikut:

   5. Dari daftar project, klik project yang berisi jaringan VPC.

   6. Di dialog Tambahkan resource, pilih kotak centang jaringan VPC.

   7. Klik Tambahkan referensi yang dipilih. Jaringan yang ditambahkan akan muncul di bagian VPC networks.

5. Klik Layanan yang Dibatasi, lalu lakukan tindakan berikut:

   1. Di panel Restricted Services, klik Add services.

   2. Pada dialog Tentukan layanan yang akan dibatasi, pilih Gemini for Google Cloud API dan Gemini Code Assist API sebagai layanan yang ingin Anda amankan dalam perimeter.

   1. Klik Tambahkan n layanan, dengan n adalah jumlah layanan yang Anda pilih di langkah sebelumnya.

6. Opsional: Jika developer Anda perlu menggunakan Gemini dalam perimeter dari plugin Cloud Code di IDE mereka, Anda harus mengonfigurasi kebijakan masuk.

   Mengaktifkan Kontrol Layanan VPC untuk Gemini akan mencegah semua akses dari luar perimeter, termasuk menjalankan ekstensi IDE Gemini Code Assist dari mesin yang tidak berada di dalam perimeter, seperti laptop perusahaan. Oleh karena itu, langkah-langkah ini diperlukan jika Anda ingin menggunakan Gemini dengan plugin Gemini Code Assist.

   1. Klik Kebijakan ingress.

   2. Di panel Aturan traffic masuk, klik Tambahkan aturan.

   3. Di Dari atribut klien API, tentukan sumber dari di luar perimeter yang memerlukan akses. Anda dapat menentukan project, tingkat akses, dan jaringan VPC sebagai sumber.

   4. Di Untuk atribut resource/layanan Google Cloud, tentukan nama layanan Gemini dan Gemini Code Assist API.

   Untuk mengetahui daftar atribut aturan traffic masuk, lihat Referensi aturan traffic masuk.

7. Opsional: Jika organisasi Anda menggunakan Access Context Manager dan Anda ingin memberikan akses kepada developer ke resource yang dilindungi dari luar perimeter, tetapkan tingkat akses:

   1. Klik Tingkat Akses.

   2. Di panel Kebijakan Ingress: Tingkat Akses, pilih kolom Pilih Tingkat Akses.

   3. Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter.

8. Klik Simpan.

Setelah Anda menyelesaikan langkah-langkah ini, Kontrol Layanan VPC akan memeriksa semua panggilan ke Gemini untuk Google Cloud API untuk memastikan bahwa panggilan tersebut berasal dari dalam perimeter yang sama.

Mengonfigurasi jaringan VPC

Anda perlu mengonfigurasi jaringan VPC agar permintaan yang dikirim ke IP virtual googleapis.com reguler secara otomatis dirutekan ke rentang IP virtual (VIP) yang dibatasi, 199.36.153.4/30 (restricted.googleapis.com), tempat layanan Gemini Anda tersedia. Anda tidak perlu mengubah konfigurasi apa pun di ekstensi IDE Gemini Code Assist.

Untuk setiap jaringan VPC dalam project Anda, ikuti langkah-langkah berikut untuk memblokir traffic keluar kecuali untuk traffic ke rentang VIP yang dibatasi:

1. Aktifkan Akses Google Pribadi di subnet yang menghosting resource jaringan VPC Anda.

2. Konfigurasi aturan firewall agar data tidak keluar dari jaringan VPC.

   1. Buat penolakan akan egress yang memblokir semua traffic keluar.
   1. Buat aturan egress yang mengizinkan traffic ke 199.36.153.4/30 di TCP port 443. Pastikan aturan izinkan traffic keluar memiliki prioritas sebelum aturan tolak traffic keluar yang baru saja Anda buat—aturan ini hanya mengizinkan traffic keluar ke rentang VIP yang dibatasi.

3. Buat kebijakan respons Cloud DNS.

4. Buat aturan untuk kebijakan respons untuk me-resolve *.googleapis.com ke restricted.googleapis.com dengan nilai berikut:

   • Nama DNS: *.googleapis.com.

   • Data lokal: restricted.googleapis.com.

   • Jenis data: A

   • TTL: 300

   • Data RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   Rentang alamat IP untuk restricted.googleapis.com adalah 199.36.153.4/30.

Setelah Anda menyelesaikan langkah-langkah ini, permintaan yang berasal dari dalam jaringan VPC tidak dapat keluar dari jaringan VPC, sehingga mencegah egress di luar perimeter layanan. Permintaan ini hanya dapat menjangkau Google API dan layanan yang memeriksa Kontrol Layanan VPC, sehingga mencegah pemindahan yang tidak sah melalui Google API.

Konfigurasi tambahan

Bergantung pada produk Google Cloud yang Anda gunakan dengan Gemini, Anda harus mempertimbangkan hal berikut:

• Komputer klien yang terhubung ke perimeter. Mesin yang berada di dalam perimeter Kontrol Layanan VPC dapat mengakses semua pengalaman Gemini. Anda juga dapat memperluas perimeter ke Cloud VPN atau Cloud Interconnect resmi dari jaringan eksternal.

• Komputer klien di luar perimeter. Jika memiliki mesin klien di luar perimeter layanan, Anda dapat memberikan akses terkontrol ke layanan Gemini yang dibatasi.

  • Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari di luar perimeter.

  • Untuk mengetahui contoh cara membuat tingkat akses di jaringan perusahaan, lihat Membatasi akses di jaringan perusahaan.

  • Tinjau batasan saat menggunakan Kontrol Layanan VPC dengan Gemini.

• Gemini Code Assist. Untuk mematuhi Kontrol Layanan VPC, pastikan IDE atau workstation yang Anda gunakan tidak memiliki akses ke https://www.google.com/tools/feedback/mobile melalui kebijakan firewall.

• Cloud Workstations. Jika Anda menggunakan Cloud Workstations, ikuti petunjuk di Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi.

Langkah selanjutnya

• Untuk informasi tentang penawaran kepatuhan di Google Cloud, lihat Pusat referensi kepatuhan.