Configura i Controlli di servizio VPC per Gemini

Questo documento mostra come configurare Controlli di servizio VPC per supportare Gemini per Google Cloud, un collaboratore basato sull'AI in Google Cloud. Per completare questa configurazione, esegui queste operazioni:

  1. Aggiorna il perimetro di servizio della tua organizzazione per includere Gemini. Questo documento presuppone che tu abbia già un perimetro di servizio in a livello di organizzazione. Per saperne di più sui perimetri di servizio, consulta Dettagli dei perimetri di servizio configurazione.

  2. Nei progetti a cui hai abilitato l'accesso a Gemini, configurare le reti VPC per bloccare il traffico in uscita, ad eccezione di il traffico verso l'intervallo VIP limitato.

Prima di iniziare

  1. Assicurati che Gemini sia configurato il tuo account utente e il tuo progetto Google Cloud.

  2. Assicurati di disporre della soluzione Identity and Access Management (IAM) richiesta ruoli per configurare e amministrare Controlli di servizio VPC.

  3. Assicurati di avere un perimetro di servizio a livello di organizzazione per configurare Gemini. Se non disponi di un servizio a questo livello, puoi crearne uno.

Aggiungi Gemini al perimetro di servizio

Per utilizzare Controlli di servizio VPC con Gemini, devi aggiungere Gemini al perimetro di servizio a livello di organizzazione. Il perimetro di servizio deve includere tutti i servizi che utilizzi con Gemini e altri servizi Google Cloud da proteggere.

Per aggiungere Gemini al perimetro di servizio, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro.

  4. Fai clic su Aggiungi risorse ed esegui le seguenti operazioni:

    1. Per ogni progetto in cui hai abilitato Gemini, nel Aggiungi risorse, fai clic su Aggiungi progetto, quindi segui questi passaggi:

      1. Nella finestra di dialogo Aggiungi progetti, seleziona i progetti da aggiungere.

        Se utilizzi un VPC condiviso, aggiungi l'host di progetti e servizi al perimetro di servizio.

      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella scheda Progetti .

    2. Per ogni rete VPC nei tuoi progetti, nella sezione Aggiungi risorse, fai clic su Aggiungi rete VPC, quindi segui questi passaggi:

      1. Nell'elenco dei progetti, fai clic sul progetto che contiene il VPC in ogni rete.

      2. Nella finestra di dialogo Aggiungi risorse, seleziona la casella di controllo della rete VPC.

      3. Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nel VPC reti.

  5. Fai clic su Servizi limitati ed esegui le seguenti operazioni:

    1. Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.

    2. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Cloud AI Companion come servizio che vuoi proteggere all'interno del perimetro.

    3. Fai clic su Aggiungi servizi n, dove n è il numero di che hai selezionato nel passaggio precedente.

  6. (Facoltativo) Se i tuoi sviluppatori devono utilizzare Gemini all'interno dal plug-in Cloud Code nei rispettivi IDE, aggiungere l'API Cloud Code all'elenco Servizi limitati e e configurare il criterio in entrata.

    L'abilitazione dei Controlli di servizio VPC per Gemini impedisce a tutti accesso dall'esterno del perimetro, inclusa l'esecuzione dell'IDE di Cloud Code da computer non presenti nel perimetro, ad esempio i laptop aziendali. Pertanto, questi passaggi sono necessari se vuoi utilizzare Gemini con il plug-in Cloud Code.

    1. Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.

    2. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Cloud Code come servizio che vuoi proteggere all'interno del perimetro.

    3. Fai clic su Aggiungi servizi n, dove n è il numero di che hai selezionato nel passaggio precedente.

    4. Fai clic su Criterio in entrata.

    5. Nel riquadro Regole in entrata, fai clic su Aggiungi regola.

    6. In Da attributi del client API, specifica le origini esterne al perimetrali che richiedono l'accesso. Puoi specificare progetti, livelli di accesso le reti VPC come origini.

    7. In A attributi di risorse/servizi Google Cloud, specifica il servizio nome di Gemini e dell'API Cloud Code.

      Per un elenco degli attributi delle regole in entrata, consulta Regole in entrata riferimento.

  7. (Facoltativo) Se la tua organizzazione utilizza Gestore contesto accesso e che vuoi fornire gli sviluppatori possono accedere a risorse protette dall'esterno del perimetro, imposta i livelli di accesso:

    1. Fai clic su Livelli di accesso.

    2. Nel riquadro Criterio in entrata: livelli di accesso, seleziona Scegli l'accesso Livello.

    3. Seleziona le caselle di controllo corrispondenti ai livelli di accesso desiderati da applicare al perimetro.

  8. Fai clic su Salva.

Dopo aver completato questi passaggi, Controlli di servizio VPC controlla tutte le chiamate al l'API Cloud AI Companion per garantire che abbiano origine all'interno dello stesso perimetrale.

Configura reti VPC

Devi configurare le reti VPC in modo che le richieste inviate all'IP virtuale normale di googleapis.com vengono instradate automaticamente IP virtuale limitato (VIP) intervallo, 199.36.153.4/30 (restricted.googleapis.com), dove si trova il tuo servizio Gemini in fase di pubblicazione. Non è necessario modificare nessuna configurazione in Cloud Code IDE.

Per ogni rete VPC del progetto, segui questi passaggi per bloccare traffico in uscita, tranne il traffico verso l'intervallo VIP limitato:

  1. Abilitare l'accesso privato Google sulle subnet che ospitano le tue risorse di rete VPC.

  2. Configura firewall regole per impedire ai dati di uscire dalla rete VPC.

    1. Creare una regola di negazione del traffico in uscita che blocchi tutto il traffico in uscita.

    2. Crea una regola di traffico in uscita che consenta il traffico verso 199.36.153.4/30 su TCP porta 443. Assicurati che la regola di traffico in uscita di autorizzazione abbia una priorità prima del rifiuto appena creata, consente il traffico in uscita solo verso intervallo VIP limitato.

  3. Crea un criterio di risposta di Cloud DNS.

  4. Crea una regola per la risposta norme per risolvere *.googleapis.com in restricted.googleapis.com con i seguenti valori:

    • Nome DNS: *.googleapis.com.

    • Dati locali: restricted.googleapis.com.

    • Tipo di record: A

    • TTL: 300

    • Dati RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.

Dopo aver completato questi passaggi, le richieste che hanno origine dall'interno la rete VPC non può uscire dalla rete VPC, per impedire il traffico in uscita al di fuori del perimetro di servizio. Queste richieste possono raggiungere solo API e servizi Google che controllano i Controlli di servizio VPC, impedendo l'esfiltrazione tramite le API di Google.

Configurazioni aggiuntive

A seconda dei prodotti Google Cloud che utilizzi Gemini, devi considerare quanto segue:

  • Macchine client connesse al perimetro. Le macchine che si trovano all'interno Il perimetro dei Controlli di servizio VPC può accedere a tutti ed esperienze variegate. Puoi anche estendere il perimetro a un elemento Cloud VPN o Cloud Interconnect da un rete esterna.

  • Macchine client fuori dal perimetro. Se hai macchine client fuori dal perimetro di servizio, puoi concedere un accesso controllato servizio Gemini limitato.

  • Gemini Code Assist. Per la conformità con Controlli di servizio VPC, assicurati che l'IDE o la workstation che stai utilizzando non ha accesso a https://www.google.com/tools/feedback/mobile attraverso i criteri firewall.

  • Cloud Workstations. Se utilizzi Cloud Workstations, segui le Istruzioni in Configurare i Controlli di servizio VPC cluster.

Passaggi successivi