En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir Gemini para Google Cloud, un colaborador potenciado por IA en Google Cloud. Para completar esta configuración, haz lo siguiente:
Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento, se supone que ya tienes un perímetro de servicio en el a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.
En los proyectos para los que habilitaste el acceso a Gemini, configurar redes de VPC para bloquear el tráfico saliente, excepto tráfico al rango VIP restringido.
Antes de comenzar
- Asegúrate de que Gemini esté configurado para tu cuenta de usuario y tu proyecto de Google Cloud.
Asegúrate de tener los roles de administración de identidades y accesos (IAM) necesarios para configurar y administrar los Controles del servicio de VPC.
Asegúrate de tener un perímetro de servicio a nivel de la organización que puedes usar para configurar Gemini. Si no tienes un servicio perímetro de servicio en este nivel, puedes crear uno.
Agrega Gemini a tu perímetro de servicio
Para usar los Controles del servicio de VPC con Gemini, debes agregar Gemini al perímetro de servicio a nivel de la organización. El perímetro del servicio debe incluir todos los servicios que usas con Gemini y otros servicios de Google Cloud que deseas proteger.
Para agregar Gemini a tu perímetro de servicio, sigue estos pasos:
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.
Selecciona tu organización.
En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.
Haz clic en Agregar recursos y haz lo siguiente:
Para cada proyecto en el que habilitaste Gemini, en el panel Agregar recursos, haz clic en Agregar proyecto y, luego, haz lo siguiente:
En el diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.
Si usas Shared VPC, agrega el proyecto host y los proyectos de servicio al perímetro de servicio.
Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Projects.
Para cada red de VPC en tus proyectos, en la sección Agregar recursos, haz clic en Agregar red de VPC y, luego, sigue estos pasos:
En la lista de proyectos, haz clic en el proyecto que contiene la VPC. en cada red.
En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.
Haz clic en Agregar recursos seleccionados. La red agregada aparece en la sección VPC redes.
Haz clic en Servicios restringidos y haz lo siguiente:
En el panel Servicios restringidos, haz clic en Agregar servicios.
En el diálogo Especificar los servicios que deseas restringir, selecciona API de Gemini para Google Cloud como el servicio que quieres proteger dentro del perímetro.
Haz clic en Agregar n servicios, donde n es la cantidad de servicios que seleccionaste en el paso anterior.
Opcional: Si tus desarrolladores necesitan usar Gemini dentro del perímetro del complemento de Cloud Code en sus IDE, deberás agregar la API de Cloud Code a la lista de Servicios restringidos y configurar la política de entrada.
Si habilitas los Controles del servicio de VPC para Gemini, acceso desde fuera del perímetro, incluida la ejecución de IDE de Cloud Code extensiones de máquinas desde máquinas fuera del perímetro, como las laptops de la empresa. Por lo tanto, estos pasos son necesarios si quieres usar Gemini con el complemento de Cloud Code.
En el panel Servicios restringidos, haz clic en Agregar servicios.
En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Cloud Code como el servicio que deseas proteger dentro del perímetro.
Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.
Haz clic en Política de entrada.
En el panel Reglas de entrada, haz clic en Agregar regla.
En Atributos desde del cliente de la API, especifica las fuentes fuera del perímetro que requieren acceso. Puedes especificar proyectos, niveles de acceso y las redes de VPC como fuentes.
En Atributos TO de los servicios o recursos de Google Cloud, especifica el nombre del servicio de Gemini y la API de Cloud Code.
Para obtener una lista de los atributos de reglas de entrada, consulta la Referencia de reglas de entrada.
Opcional: Si tu organización usa Access Context Manager y quieres proporcionar desarrolladores accedan a recursos protegidos desde fuera del perímetro, establecer niveles de acceso:
Haz clic en Niveles de acceso.
En el panel Política de entrada: Niveles de acceso, selecciona Elegir acceso Level.
Selecciona las casillas de verificación correspondientes a los niveles de acceso que deseas. para aplicar al perímetro.
Haz clic en Guardar.
Luego de que completes estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la la API de Gemini para Google Cloud para garantizar que se originen en la misma perímetro de servicio.
Configura redes de VPC
Debes configurar tus redes de VPC para que las solicitudes que se envían a la IP virtual googleapis.com
normal se enruten automáticamente al rango de IP virtual (VIP) restringido, 199.36.153.4/30
(restricted.googleapis.com
), en el que se entrega tu servicio de Gemini. No es necesario que cambies ninguna configuración en las extensiones del IDE de Cloud Code.
En cada red de VPC del proyecto, sigue estos pasos para bloquear Tráfico saliente, excepto el que se dirige al rango VIP restringido:
Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.
Configura las reglas de firewall para evitar que los datos abandonen la red de VPC.
Crea una regla de rechazo de salida que bloquee todo el tráfico saliente.
Crea una regla de permiso de salida que permita el tráfico a
199.36.153.4/30
en TCP puerto443
. Asegúrate de que la regla de permiso de salida tenga prioridad antes de la regla de rechazo de salida que acabas de crear. Esto permite la salida solo al rango VIP restringido.
Crea una regla para la política de respuesta para resolver
*.googleapis.com
enrestricted.googleapis.com
con los siguientes valores:Nombre de DNS:
*.googleapis.com.
Datos locales:
restricted.googleapis.com.
Tipo de registro:
A
TTL:
300
Datos de RR:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
El rango de direcciones IP de
restricted.googleapis.com
es199.36.153.4/30
.
Después de completar estos pasos, las solicitudes que se originan en la red de VPC no pueden salir de ella, lo que impide la salida fuera del perímetro del servicio. Estas solicitudes solo pueden llegar a las APIs y los servicios de Google que cumplen con los Controles del servicio de VPC, lo que evita el robo mediante las APIs de Google.
Parámetros de configuración adicionales
Según los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:
Máquinas cliente conectadas al perímetro. Las máquinas que están dentro del El perímetro de los Controles del servicio de VPC puede acceder experiencias. También puedes extender el perímetro a una Cloud VPN o Cloud Interconnect autorizada desde una red externa.
Máquinas cliente fuera del perímetro. Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio Gemini restringido.
Para obtener más información, consulta Permite el acceso a recursos protegidos desde el exterior un perímetro.
Para ver un ejemplo de cómo crear un nivel de acceso en una red corporativa, consulta Limita el acceso en una red corporativa.
Revisa el limitaciones cuando uses los Controles del servicio de VPC con Gemini.
Gemini Code Assist Para cumplir con en los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo no tiene acceso a
https://www.google.com/tools/feedback/mobile
a través de políticas de firewall.Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones que se indican en Configura los Controles del servicio de VPC y los clústeres privados.
¿Qué sigue?
- Para obtener información sobre las ofertas de cumplimiento en Google Cloud, consulta el Centro de recursos de cumplimiento.