Consentire l'accesso degli endpoint pubblici alle risorse protette dall'esterno di un perimetro dei Controlli di servizio VPC

Questa pagina descrive come consentire il traffico dagli indirizzi IP interni di una rete VPC ai perimetri di servizio utilizzando regole di ingresso e uscita.

Architettura di riferimento

Nella seguente architettura di riferimento, viene eseguito il deployment di un VPC condiviso con un modello Gemini nel progetto di servizio ph-fm-svc-project (progetto di servizio del modello di base) con i seguenti attributi dei criteri di servizio che consentono l'accesso pubblico noto all'API Vertex AI per Generative AI su Vertex AI:

  • Un singolo perimetro dei Controlli di servizio VPC
  • Livello di accesso: intervallo CIDR dell'endpoint pubblico esterno noto
  • Identità utente definita dal progetto

Diagramma di architettura che mostra l'utilizzo dei Controlli di servizio VPC per creare un perimetro di servizio.

Crea il livello di accesso

Gestore contesto accesso consente agli amministratori dell'organizzazione Google Cloud di definire un controllo dell'accesso granulare e basato su attributi per i progetti e le risorse inGoogle Cloud. Gli amministratori definiscono innanzitutto un criterio di accesso, che è un contenitore a livello di organizzazione per livelli di accesso e perimetri di servizio.

I livelli di accesso descrivono i requisiti per l'accettazione delle richieste. Ecco alcuni esempi:

In questa architettura di riferimento, viene utilizzato un livello di accesso alla subnet IP pubblico per elaborare il criterio di accesso di Controlli di servizio VPC.

  1. Nel selettore di progetti nella parte superiore della console Google Cloud , fai clic sulla scheda Tutti e seleziona la tua organizzazione.

  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Creare un livello di accesso di base. Specifica le seguenti opzioni:

    1. In Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci corp-public-block.
    3. Nella sezione Condizioni, per l'opzione Quando la condizione è soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP pubblico.
    5. Per l'intervallo di indirizzi IP, specifica l'intervallo CIDR esterno che richiede l'accesso al perimetro di Controlli di servizio VPC.

Crea il perimetro di servizio dei Controlli di servizio VPC

Quando crei un perimetro di servizio, consenti l'accesso ai servizi protetti dall'esterno del perimetro specificando il livello di accesso (indirizzo IP) quando crei il perimetro di Controlli di servizio VPC oltre ai progetti protetti. Quando utilizzi Controlli di servizio VPC con VPC condiviso, la best practice prevede di creare un perimetro grande che includa i progetti host e di servizio. Se selezioni solo i progetti di servizio in un perimetro, gli endpoint di rete appartenenti ai progetti di servizio sembrerebbero essere esterni al perimetro perché le subnet sono associate al progetto host.

Seleziona il tipo di configurazione per il nuovo perimetro

In questa sezione, crei un perimetro di servizio dei Controlli di servizio VPC in modalità di prova. In modalità di prova, il perimetro registra le violazioni come se i perimetri fossero applicati, ma non impedisce l'accesso ai servizi con limitazioni. Come best practice, ti consigliamo di utilizzare la modalità di prova prima di passare alla modalità forzata.

  1. Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza e poi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Se richiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.

  4. Fai clic su Nuovo perimetro.

  5. Nella scheda Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro. In caso contrario, accetta i valori predefiniti.

    Il nome di un perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

Seleziona le risorse da proteggere

  1. Fai clic su Risorse da proteggere.

  2. Per aggiungere i progetti o le reti VPC che vuoi proteggere all'interno del perimetro, procedi nel seguente modo:

    1. Fai clic su Aggiungi risorse.

    2. Per aggiungere progetti al perimetro, fai clic su Aggiungi progetto nel riquadro Aggiungi risorse.

      1. Per selezionare un progetto, seleziona la relativa casella di controllo nella finestra di dialogo Aggiungi progetti. Seleziona le caselle di controllo per i progetti seguenti:

        • aiml-host-project
        • ph-fm-svc-project

      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

Seleziona i servizi con limitazioni

In questa architettura di riferimento, l'ambito delle API con restrizioni è limitato, in quanto vengono attivate solo le API necessarie per Gemini. Tuttavia, come best practice, ti consigliamo di limitare tutti i servizi quando crei un perimetro per ridurre il rischio di esfiltrazione di dati dai serviziGoogle Cloud .

Per selezionare i servizi da proteggere all'interno del perimetro:

  1. Fai clic su Servizi con limitazioni.

  2. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.

  3. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Vertex AI.

  4. Fai clic su Aggiungi API Vertex AI.

(Facoltativo) Seleziona i servizi accessibili da VPC

L'impostazione Servizi accessibili VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio. In questa architettura di riferimento, manteniamo l'impostazione predefinita di Tutti i servizi.

  1. Fai clic su Servizi accessibili da VPC.

  2. Nel riquadro Servizi accessibili da VPC, seleziona Tutti i servizi.

Seleziona il livello di accesso

Consenti l'accesso alle risorse protette dall'esterno del perimetro tenendo conto di quanto segue:

  1. Fai clic su Livelli di accesso.

  2. Fai clic sulla casella Scegli livello di accesso.

    Puoi anche aggiungere i livelli di accesso dopo aver creato un perimetro.

  3. Seleziona la casella di controllo corrispondente al livello di accesso corp-public-block.

Criteri in entrata e in uscita

In questa architettura di riferimento, non è necessario specificare impostazioni nelle sezioni Criteri per il traffico in entrata o Criteri per il traffico in uscita.

Crea il perimetro

Dopo aver completato i passaggi di configurazione precedenti, crea il perimetro facendo clic su Crea perimetro.

Convalida il perimetro in modalità di prova

In questa architettura di riferimento, il perimetro di servizio è configurato in modalità di prova, consentendo di verificare l'effetto del criterio di accesso senza applicazione. Ciò significa che puoi vedere l'impatto dei tuoi criteri sul tuo ambiente se fossero attivi, ma senza il rischio di interrompere il traffico legittimo.

Dopo aver convalidato il perimetro in modalità dry run, passa alla modalità di applicazione forzata.

Per scoprire come convalidare il perimetro in modalità di prova, consulta Logging della prova di VPC Service Controls.