Permitir que o endpoint público acesse recursos protegidos de fora de um perímetro do VPC Service Controls

Esta página descreve como permitir o tráfego de endereços IP internos em uma rede VPC para perímetros de serviço usando regras de entrada e saída.

Arquitetura de referência

Na arquitetura de referência a seguir, uma VPC compartilhada é implantada com um modelo Gemini no projeto de serviço, ph-fm-svc-project (projeto de serviço de modelo de base) com os seguintes atributos de política de serviço que permitem o acesso público conhecido à API Vertex AI para IA generativa na Vertex AI:

  • Um único perímetro do VPC Service Controls
  • Nível de acesso: intervalo CIDR de endpoint público externo conhecido
  • Identidade do usuário definida pelo projeto

Diagrama arquitetônico do uso do VPC Service Controls para criar um perímetro de serviço.

Criar o nível de acesso

O Access Context Manager permite que Google Cloud os administradores da organização definam um controle de acesso refinado e baseado em atributos para projetos e recursos no Google Cloud. Primeiro, os administradores definem uma política de acesso, que é um contêiner de toda a organização para níveis de acesso e perímetros de serviço.

Os níveis de acesso descrevem os requisitos para que as solicitações sejam atendidas. Exemplos incluem:

  • Tipo de dispositivo e sistema operacional (requer licença do Chrome Enterprise Premium)
  • Endereço IP
  • Identidade do usuário

Nesta arquitetura de referência, um nível de acesso de sub-rede de IP público é usado para criar a política de acesso do VPC Service Controls.

  1. No seletor de projetos na parte de cima do console do Google Cloud , clique na guia Todos e selecione sua organização.

  2. Crie um nível de acesso básico seguindo as instruções na página Criar um nível de acesso básico. Especifique as seguintes opções:

    1. Em Criar condições em, escolha Modo básico.
    2. No campo Título do nível de acesso, insira corp-public-block.
    3. Na seção Condições, para a opção Quando a condição for atendida, retorne, selecione VERDADEIRO.
    4. Em Sub-redes de IP, escolha IP público.
    5. Para o intervalo de endereços IP, especifique o intervalo CIDR externo que exige acesso ao perímetro do VPC Service Controls.

Criar o perímetro de serviço do VPC Service Controls

Ao criar um perímetro de serviço, permita o acesso a serviços protegidos de fora do perímetro especificando o nível de acesso (endereço IP) ao criar o perímetro do VPC Service Controls, além dos projetos protegidos. Ao usar o VPC Service Controls com a VPC compartilhada, a prática recomendada determina a criação de um grande perímetro que inclua os projetos host e de serviço. A seleção exclusiva de projetos de serviço em um perímetro significa que os endpoints de rede pertencentes aos projetos de serviço parecem estar fora do perímetro, porque as sub-redes estão associadas ao projeto host.

Selecione o tipo de configuração do novo perímetro

Nesta seção, você cria um perímetro de serviço do VPC Service Controls no modo de simulação. No modo de simulação, o perímetro registra violações como se os perímetros fossem aplicados, mas não impedem o acesso a serviços restritos. O uso do modo de simulação antes de mudar para o modo obrigatório é uma prática recomendada.

  1. No Google Cloud menu de navegação do console, clique em Segurança e depois em VPC Service Controls.

    Acessar a página VPC Service Controls

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, clique em Modo de simulação.

  4. Clique em Novo perímetro.

  5. Na guia Novo perímetro de serviço da VPC, na caixa Nome do perímetro, digite um nome para o perímetro. Caso contrário, aceite os valores padrão.

    O nome do perímetro pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (_). O nome do perímetro é diferencia maiúsculas de minúsculas e precisa ser exclusivo em uma política de acesso.

Selecionar os recursos a serem protegidos

  1. Clique em Recursos a serem protegidos.

  2. Para adicionar projetos ou redes VPC que você quer proteger no perímetro, faça o seguinte:

    1. Clique em Adicionar recursos.

    2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.

      1. Para selecionar um projeto, marque a caixa de seleção dele na caixa de diálogo Adicionar projetos. Marque as caixas de seleção dos projetos a seguir:

        • aiml-host-project
        • ph-fm-svc-project

      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projects.

Selecione os serviços restritos

Nesta arquitetura de referência, o escopo das APIs restritas é limitado, permitindo apenas as APIs necessárias para a Gemini. No entanto, como prática recomendada, recomendamos que você restrinja todos os serviços ao criar um perímetro para reduzir o risco de exfiltração de dados dos serviçosGoogle Cloud .

Para selecionar os serviços que você quer proteger no perímetro, faça o seguinte:

  1. Clique em Serviços restritos.

  2. No painel Serviços restritos, clique em Adicionar serviços.

  3. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Vertex AI.

  4. Clique em Adicionar a API Vertex AI.

Opcional: selecione os serviços acessíveis pela VPC

A configuração Serviços acessíveis por VPC limita o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. Nesta arquitetura de referência, vamos manter a configuração padrão de Todos os serviços.

  1. Clique em Serviços acessíveis pela VPC.

  2. No painel Serviços acessíveis pela VPC, selecione Todos os serviços.

Selecionar o nível de acesso

Para permitir o acesso a recursos protegidos de fora do perímetro, faça o seguinte:

  1. Clique em Níveis de acesso.

  2. Clique na caixa Escolher nível de acesso.

    Também é possível adicionar níveis de acesso após a criação de um perímetro.

  3. Marque a caixa de seleção correspondente ao nível de acesso corp-public-block.

Políticas de entrada e saída

Nesta arquitetura de referência, não é necessário especificar nenhuma configuração nos painéis Política de entrada ou Política de saída.

Criar o perímetro

Depois de concluir as etapas de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Validar seu perímetro no modo de simulação

Nesta arquitetura de referência, o perímetro de serviço é configurado no modo de simulação, permitindo testar o efeito da política de acesso sem aplicação. Isso significa que você pode conferir como suas políticas afetariam seu ambiente se estivessem ativas, mas sem o risco de interromper o tráfego legítimo.

Depois de validar o perímetro no modo de simulação, mude para o modo obrigatório.

Para saber como validar seu perímetro no modo de simulação, consulte Registro de simulação do VPC Service Controls.