Configura los Controles del servicio de VPC para Gemini

En este documento, se muestra cómo configurar Controles del servicio de VPC para admitir Gemini para Google Cloud, un colaborador impulsado por IA en Google Cloud. Para completar esta configuración, debes hacer lo siguiente:

  1. Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento, se supone que ya tienes un perímetro de servicio en el a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Detalles del perímetro de servicio y actual.

  2. En los proyectos para los que habilitaste el acceso a Gemini, configurar redes de VPC para bloquear el tráfico saliente, excepto tráfico al rango VIP restringido.

Antes de comenzar

  1. Asegúrate de que Gemini esté configurado para tu cuenta de usuario y tu proyecto de Google Cloud.

  2. Asegúrate de tener Identity and Access Management (IAM) necesarias roles para configurar y administrar los Controles del servicio de VPC.

  3. Asegúrate de tener un perímetro de servicio a nivel de la organización que puedes usar para configurar Gemini. Si no tienes un servicio perímetro de servicio en este nivel, puedes crear uno.

Agrega Gemini a tu perímetro de servicio

Para usar los Controles del servicio de VPC con Gemini, debes agregar Gemini al perímetro de servicio a nivel de la organización. El perímetro de servicio debe incluir los servicios que usas con Gemini y otros servicios de Google Cloud que quieres proteger.

Para agregar Gemini a tu perímetro de servicio, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Selecciona tu organización.

  3. En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.

  4. Haz clic en Agregar recursos y haz lo siguiente:

    1. Para cada proyecto en el que hayas habilitado Gemini, en la En el panel Add resources, haz clic en Add project y, luego, sigue estos pasos:

      1. En el diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.

        Si usas una VPC compartida, agrega el host. proyectos y proyectos de servicio al perímetro de servicio.

      2. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecerán en la sección Proyectos sección.

    2. Para cada red de VPC en tus proyectos, en la sección Agregar recursos, haz clic en Agregar red de VPC y, luego, sigue estos pasos:

      1. En la lista de proyectos, haz clic en el proyecto que contiene la VPC. en cada red.

      2. En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.

      3. Haz clic en Agregar recursos seleccionados. La red agregada aparece en la sección VPC redes.

  5. Haz clic en Servicios restringidos y haz lo siguiente:

    1. En el panel Servicios restringidos, haz clic en Agregar servicios.

    2. En el diálogo Especificar los servicios que deseas restringir, selecciona API de Cloud AI Companion como el servicio que quieres proteger dentro del perímetro.

    3. Haz clic en Agregar n servicios, donde n es la cantidad de servicios que seleccionaste en el paso anterior.

  6. Opcional: Si los desarrolladores necesitan usar Gemini en el perímetro del complemento de Cloud Code en sus IDE, agregar API de Cloud Code a la lista de Servicios restringidos configurar la política de entrada.

    Si habilitas los Controles del servicio de VPC para Gemini, acceso desde fuera del perímetro, incluida la ejecución de IDE de Cloud Code extensiones de máquinas desde máquinas fuera del perímetro, como las laptops de la empresa. Por lo tanto, estos pasos son necesarios si quieres usar Gemini con el complemento de Cloud Code.

    1. En el panel Servicios restringidos, haz clic en Agregar servicios.

    2. En el diálogo Especificar los servicios que deseas restringir, selecciona API de Cloud Code como el servicio que quieres proteger dentro del perímetro.

    3. Haz clic en Agregar n servicios, donde n es la cantidad de servicios que seleccionaste en el paso anterior.

    4. Haz clic en Política de entrada.

    5. En el panel Reglas de entrada, haz clic en Agregar regla.

    6. En Desde los atributos del cliente de la API, especifica las fuentes desde fuera del perímetro de servicio que requieren acceso. Puedes especificar proyectos, niveles de acceso y las redes de VPC como fuentes.

    7. En En los atributos de los recursos/servicios de Google Cloud, especifica el servicio de Gemini y de la API de Cloud Code.

      Para obtener una lista de atributos de reglas de entrada, consulta Reglas de entrada. referencia.

  7. Opcional: Si tu organización usa Access Context Manager y quieres proporcionar desarrolladores accedan a recursos protegidos desde fuera del perímetro, establecer niveles de acceso:

    1. Haz clic en Niveles de acceso.

    2. En el panel Política de entrada: Niveles de acceso, selecciona Elegir acceso Level.

    3. Selecciona las casillas de verificación correspondientes a los niveles de acceso que deseas. para aplicar al perímetro.

  8. Haz clic en Guardar.

Luego de que completes estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la con la API de Cloud AI Companion para garantizar que se originen perímetro de servicio.

Configura redes de VPC

Debes configurar tus redes de VPC para que las solicitudes enviadas a la IP virtual normal de googleapis.com se enrutan automáticamente al IP virtual restringida (VIP) rango, 199.36.153.4/30 (restricted.googleapis.com), donde se encuentra de Google Cloud. No es necesario cambiar la configuración en Cloud Code extensiones de IDE.

En cada red de VPC del proyecto, sigue estos pasos para bloquear Tráfico saliente, excepto el que se dirige al rango VIP restringido:

  1. Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.

  2. Configura las reglas de firewall reglas para evitar que los datos salgan de la red de VPC.

    1. Crea una regla de rechazo de salida que bloquee todo el tráfico saliente.

    2. Crea una regla de permiso de salida que permita el tráfico a 199.36.153.4/30 en TCP puerto 443. Asegúrate de que la regla de permiso de salida tenga prioridad antes de de salida que acabas de crear, ya que permite la salida rango VIP restringido.

  3. Crea una política de respuesta de Cloud DNS.

  4. Crea una regla para la respuesta política resolver *.googleapis.com a restricted.googleapis.com con el los siguientes valores:

    • Nombre de DNS: *.googleapis.com.

    • Datos locales: restricted.googleapis.com.

    • Tipo de registro: A

    • TTL: 300

    • Datos de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      El rango de direcciones IP de restricted.googleapis.com es 199.36.153.4/30.

Después de que completes estos pasos, las solicitudes que se originen en red de VPC no pueden salir de la red de VPC, y evitar la salida fuera del perímetro de servicio. Estas solicitudes solo pueden llegar las APIs y los servicios de Google que verifican los Controles del servicio de VPC, lo que evita y robo de datos a través de las APIs de Google.

Parámetros de configuración adicionales

Según los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:

  • Máquinas cliente conectadas al perímetro. Las máquinas que están dentro del El perímetro de los Controles del servicio de VPC puede acceder experiencias. También puede extender el perímetro a una Cloud VPN o Cloud Interconnect desde un desde una red externa.

  • Máquinas cliente fuera del perímetro. Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio de Gemini restringido.

  • Gemini Code Assist Para cumplir con en los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo no tiene acceso a https://www.google.com/tools/feedback/mobile a través de políticas de firewall.

  • Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones en Configura los Controles del servicio de VPC y las clústeres.

¿Qué sigue?