Autoriser l'accès d'un point de terminaison public aux ressources protégées depuis l'extérieur d'un périmètre VPC Service Controls

Cette page explique comment autoriser le trafic provenant d'adresses IP internes d'un réseau VPC vers des périmètres de service à l'aide de règles d'entrée et de sortie.

Architecture de référence

Dans l'architecture de référence suivante, un VPC partagé est déployé avec un modèle Gemini dans le projet de service ph-fm-svc-project (projet de service de modèle de fondation) avec les attributs de stratégie de service suivants permettant un accès public connu à l'API Vertex AI pour l'IA générative sur Vertex AI:

  • Un seul périmètre VPC Service Controls
  • Niveau d'accès : plage CIDR du point de terminaison public externe connu
  • Identité utilisateur définie par le projet

Schéma architectural de l'utilisation de VPC Service Controls pour créer un périmètre de service.

Créer le niveau d'accès

Access Context Manager permet aux administrateurs d' Google Cloud organisations de définir un contrôle d'accès précis et basé sur des attributs pour les projets et les ressources dansGoogle Cloud. Les administrateurs définissent en premier lieu une règle d'accès, qui est un conteneur à l'échelle de l'organisation pour les niveaux d'accès et les périmètres de service.

Les niveaux d'accès décrivent les conditions requises pour que les requêtes soient honorées. Exemples:

  • Type d'appareil et système d'exploitation (nécessite une licence Chrome Enterprise Premium)
  • Adresse IP
  • Identité des utilisateurs

Dans cette architecture de référence, un niveau d'accès de sous-réseau IP public est utilisé pour créer la règle d'accès VPC Service Controls.

  1. Dans le sélecteur de projet en haut de la console Google Cloud, cliquez sur l'onglet Tous, puis sélectionnez votre organisation.

  2. Créez un niveau d'accès de base en suivant les instructions de la page Créer un niveau d'accès de base. Spécifiez les options suivantes:

    1. Sous Créer des conditions en, sélectionnez Mode de base.
    2. Dans le champ Titre du niveau d'accès, saisissez corp-public-block.
    3. Dans la section Conditions, pour l'option When condition is met, return (Lorsque la condition est remplie, renvoyer), sélectionnez TRUE.
    4. Sous Sous-réseaux IP, sélectionnez Adresse IP publique.
    5. Pour la plage d'adresses IP, spécifiez la plage CIDR externe qui nécessite un accès au périmètre VPC Service Controls.

Créer le périmètre de service VPC Service Controls

Lorsque vous créez un périmètre de service, autorisez l'accès aux services protégés depuis l'extérieur du périmètre en spécifiant le niveau d'accès (adresse IP) lorsque vous créez le périmètre VPC Service Controls en plus des projets protégés. Lorsque vous utilisez VPC Service Controls avec un VPC partagé, il est recommandé de créer un grand périmètre qui inclut les projets hôte et de service. Si vous ne sélectionnez que des projets de service dans un périmètre, les points de terminaison réseau appartenant aux projets de service apparaîtront en dehors du périmètre, car les sous-réseaux sont associés au projet hôte.

Sélectionnez le type de configuration du nouveau périmètre.

Dans cette section, vous allez créer un périmètre de service VPC Service Controls en mode simulation. En mode simulation, le périmètre consigne les violations comme si les périmètres étaient appliqués, mais n'empêche pas l'accès aux services restreints. Il est recommandé d'utiliser le mode simulation avant de passer au mode forcé.

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page VPC Service Controls

  2. Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Sur la page VPC Service Controls, cliquez sur Mode simulation.

  4. Cliquez sur Nouveau périmètre.

  5. Dans l'onglet Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre. Sinon, acceptez les valeurs par défaut.

    Un nom de périmètre peut comporter au maximum 50 caractères, commencer par une lettre et ne contenir que des lettres de l'alphabet latin ASCII (az, AZ), des chiffres (0-9) ou des traits de soulignement (_). Le nom du périmètre est sensible à la casse et doit être unique dans une règle d'accès.

Sélectionner les ressources à protéger

  1. Cliquez sur Ressources à protéger.

  2. Pour ajouter des projets ou des réseaux VPC que vous souhaitez sécuriser au sein du périmètre, procédez comme suit:

    1. Cliquez sur Ajouter des ressources.

    2. Pour ajouter des projets au périmètre, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet.

      1. Pour sélectionner un projet, cochez la case correspondante dans la boîte de dialogue Ajouter des projets. Cochez les cases pour les projets suivants :

        • aiml-host-project
        • ph-fm-svc-project

      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

Sélectionner les services restreints

Dans cette architecture de référence, le champ d'application des API limitées est limité, et seules les API nécessaires à Gemini sont activées. Toutefois, nous vous recommandons de limiter tous les services lorsque vous créez un périmètre pour limiter le risque d'exfiltration de données des servicesGoogle Cloud .

Pour sélectionner les services à sécuriser dans le périmètre, procédez comme suit:

  1. Cliquez sur Services restreints.

  2. Dans le volet Services restreints, cliquez sur Ajouter des services.

  3. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Vertex AI.

  4. Cliquez sur Ajouter l'API Vertex AI.

Facultatif: Sélectionner les services accessibles par VPC

Le paramètre Services accessibles par VPC limite l'ensemble de services accessibles à partir de points de terminaison du réseau dans votre périmètre de service. Dans cette architecture de référence, nous conservons le paramètre par défaut Tous les services.

  1. Cliquez sur Services accessibles par VPC.

  2. Dans le volet Services accessibles par VPC, sélectionnez Tous les services.

Sélectionnez le niveau d'accès

Autorisez l'accès aux ressources protégées depuis l'extérieur du périmètre en procédant comme suit:

  1. Cliquez sur Niveaux d'accès.

  2. Cochez la case Sélectionnez le niveau d'accès.

    Vous pouvez également ajouter des niveaux d'accès après la création d'un périmètre.

  3. Cochez la case correspondant au niveau d'accès corp-public-block.

Règles d'entrée et de sortie

Dans cette architecture de référence, vous n'avez pas besoin de spécifier de paramètres dans les volets Ingress Policy (Règle d'entrée) ou Egress Policy (Règle de sortie).

Créer le périmètre

Une fois les étapes de configuration précédentes terminées, créez le périmètre en cliquant sur Créer un périmètre.

Valider votre périmètre en mode simulation

Dans cette architecture de référence, le périmètre de service est configuré en mode simulation, ce qui vous permet de tester l'effet de la stratégie d'accès sans l'appliquer. Vous pouvez ainsi voir l'impact de vos règles sur votre environnement si elles étaient actives, sans risque de perturber le trafic légitime.

Après avoir validé votre périmètre en mode simulation, passez au mode application forcée.

Pour savoir comment valider votre périmètre en mode simulation, consultez la section Journalisation de la simulation VPC Service Controls.