Configura los Controles del servicio de VPC para Duet AI

En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir Duet AI, un colaborador potenciado por IA en Google Cloud. Para completar esta configuración, haz lo siguiente:

  1. Actualiza el perímetro de servicio de tu organización para incluir Duet AI. En este documento, se supone que ya tienes un perímetro de servicio a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Detalles y configuración del perímetro de servicio.

  2. En los proyectos en los que habilitaste el acceso a Duet AI, configura las redes de VPC para bloquear el tráfico saliente, excepto el tráfico al rango VIP restringido.

Antes de comenzar

  1. Asegúrate de que Duet AI esté configurado para tu cuenta de usuario y proyecto de Google Cloud.

  2. Asegúrate de tener las funciones de Identity and Access Management (IAM) necesarias para configurar y administrar los Controles del servicio de VPC.

  3. Asegúrate de tener un perímetro de servicio a nivel de la organización que puedas usar para configurar Duet AI. Si no tienes un perímetro de servicio en este nivel, puedes crear uno.

Agrega Duet AI a tu perímetro de servicio

Para usar los Controles del servicio de VPC con Duet AI, agrega Duet AI al perímetro de servicio a nivel de la organización. El perímetro de servicio debe incluir todos los servicios que usas con Duet AI y otros servicios de Google Cloud que quieres proteger.

Para agregar Duet AI a tu perímetro de servicio, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Selecciona tu organización.

  3. En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.

  4. Haz clic en Add Resources y haz lo siguiente:

    1. Para cada proyecto en el que hayas habilitado Duet AI, en el panel Agregar recursos, haz clic en Agregar proyecto y, luego, haz lo siguiente:

      1. En el cuadro de diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.

        Si usas una VPC compartida, agrega el proyecto host y los proyectos de servicio al perímetro de servicio.

      2. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecerán en la sección Proyectos.

    2. Para cada red de VPC en tus proyectos, en el panel Agregar recursos, haz clic en Agregar red de VPC y, luego, haz lo siguiente:

      1. En la lista de proyectos, haz clic en el que contiene la red de VPC.

      2. En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.

      3. Haz clic en Agregar recursos seleccionados. La red agregada aparece en la sección Redes de VPC.

  5. Haz clic en Servicios restringidos y haz lo siguiente:

    1. En el panel Servicios restringidos, haz clic en Agregar servicios.

    2. En el diálogo Especificar los servicios que deseas restringir, selecciona Duet AI como el servicio que quieres proteger dentro del perímetro.

    3. Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.

  6. Opcional: Si los desarrolladores necesitan usar Duet AI dentro del perímetro del complemento de Cloud Code en sus IDE, configura la política de entrada.

    Activar los Controles del servicio de VPC para Duet AI impide todo el acceso desde fuera del perímetro, lo que incluye la ejecución de extensiones del IDE de Cloud Code desde máquinas que no están en el perímetro, como las laptops de la empresa. Por lo tanto, es necesario configurar la política de entrada si quieres usar Duet AI con el complemento de Cloud Code.

    1. Haz clic en Política de entrada.

    2. En el panel Reglas de entrada, haz clic en Agregar regla.

    3. En Desde los atributos del cliente de la API, especifica las fuentes desde fuera del perímetro que requieren acceso. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.

    4. En Para los atributos de los recursos o servicios de Google Cloud, especifica el nombre del servicio de Duet AI.

      Para obtener una lista de atributos de reglas de entrada, consulta Referencia de reglas de entrada.

  7. Opcional: Si tu organización usa Access Context Manager y quieres proporcionar a los desarrolladores acceso a recursos protegidos desde fuera del perímetro, configura los niveles de acceso:

    1. Haz clic en Niveles de acceso.

    2. En el panel Política de entrada: Niveles de acceso, selecciona el campo Elegir nivel de acceso.

    3. Selecciona las casillas de verificación que correspondan a los niveles de acceso que deseas aplicar al perímetro.

  8. Haz clic en Guardar.

Después de completar estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la API de Duet AI para garantizar que se originen en el mismo perímetro.

Configura redes de VPC

Debes configurar tus redes de VPC para que las solicitudes enviadas a la IP virtual googleapis.com normal se enruten automáticamente al rango de IP virtual (VIP) restringido, 199.36.153.4/30 (restricted.googleapis.com), en el que entrega el servicio de Duet AI. No es necesario cambiar ninguna configuración en las extensiones de IDE de Cloud Code.

Sigue estos pasos para bloquear el tráfico saliente de cada red de VPC del proyecto, excepto el que se dirige al rango VIP restringido:

  1. Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.

  2. Configura reglas de firewall para evitar que los datos salgan de la red de VPC.

    1. Crea una regla de rechazo de salida que bloquee todo el tráfico saliente.

    2. Crea una regla de permiso de salida que permita el tráfico hacia 199.36.153.4/30 en el puerto TCP 443. Asegúrate de que la regla de permiso de salida tenga una prioridad antes que la regla de denegación de salida que acabas de crear. Esto permite la salida solo al rango VIP restringido.

  3. Crea una política de respuesta de Cloud DNS.

  4. Crea una regla para la política de respuesta a fin de resolver *.googleapis.com en restricted.googleapis.com con los siguientes valores:

    • Nombre de DNS: *.googleapis.com.

    • Datos locales: restricted.googleapis.com.

    • Tipo de registro: A

    • TTL: 300

    • Datos de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      El rango de direcciones IP para restricted.googleapis.com es 199.36.153.4/30.

Después de completar estos pasos, las solicitudes que se originan en la red de VPC no pueden salir de ella, lo que evita la salida fuera del perímetro de servicio. Estas solicitudes solo pueden llegar a las APIs y los servicios de Google que verifican los Controles del servicio de VPC, lo que evita el robo a través de las APIs de Google.

Parámetros de configuración adicionales

Según los productos de Google Cloud que uses con Duet AI, debes tener en cuenta lo siguiente:

  • Máquinas cliente conectadas al perímetro. Las máquinas que están dentro del perímetro de los Controles del servicio de VPC pueden acceder a todas las experiencias de Duet AI. También puedes extender el perímetro a Cloud VPN o Cloud Interconnect autorizadas desde una red externa.

  • Máquinas cliente fuera del perímetro. Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio restringido de Duet AI.

  • Duet AI para desarrolladores. Para cumplir con los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo que usas no tengan acceso a https://www.google.com/tools/feedback/mobile a través de políticas de firewall.

  • Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones en Configura los Controles del servicio de VPC y los clústeres privados.

¿Qué sigue?