Zugriff auf geschützte Ressourcen von einem privaten Endpunkt innerhalb eines VPC Service Controls-Perimeters zulassen

In Architekturen mit freigegebener VPC wird das Netzwerk des Hostprojekts mit dem Dienstprojekt geteilt. Bis vor Kurzem war es daher nicht möglich, diese Projekte in verschiedene Perimeter zu unterteilen. Mit der Einführung von privaten IP-Adressen basierenden Ein- und Ausgangsregeln können Host- und Serviceprojekte jetzt in separaten Perimetern angesiedelt werden, während der Zugriff über diese Regeln kontrolliert wird.

Referenzarchitektur

In der Servicerichtlinie werden die folgenden Attribute verwendet:

• VPC Service Controls-Perimeter
• Private IP-Adressen für Access Context Manager
• Regeln für ein- und ausgehenden Traffic

In der Netzwerkkomponente dieser Architektur wird ein Private Service Connect-Endpunkt für den Zugriff auf Google APIs verwendet.

In dieser Referenzarchitektur werden Ein- und Ausgangsregeln sowie private IP-Adressen verwendet, um den Zugriff zwischen Compute Engine-Instanzen und der Vertex AI API für die folgenden Dienstperimeter und Projekte zu steuern:

Perimeter	Projekte innerhalb des Perimeters
aiml-host-perimeter	aiml-host-project
high-trust-svc-perimeter	ph-fm-svc-project-1
low-trust-svc-perimeter	ph-fm-svc-project-2, ph-fm-svc-project-3

Der Zugriff auf die Vertex AI API von den Compute Engine-Instanzen der einzelnen Dienstprojekte wird durch die Ein- und Ausstiegsregeln von VPC Service Controls gesteuert. Bei diesen Regeln werden Access Context Manager-Zugriffsebenen verwendet, die mit privaten IP-Adressen konfiguriert sind, um den mit den einzelnen Dienstprojekten freigegebenen Subnetzen Zugriff auf ihre jeweiligen Perimeter zu gewähren.

Optional: Zugriffsebene für öffentlichen Traffic der Organisation erstellen

Wenn Ihre Endnutzer über die Google Cloud Console auf Vertex AI zugreifen müssen, folgen Sie der Anleitung in diesem Abschnitt, um eine Zugriffsebene für die Verwendung in VPC Service Controls zu erstellen. Wenn der Zugriff auf APIs jedoch ausschließlich programmatisch aus privaten Quellen erfolgt (z. B. lokal mit privatem Google-Zugriff für lokale Umgebungen oder Cloud-Arbeitsstationen), ist die Zugriffsebene nicht erforderlich.

In dieser Referenzarchitektur verwenden wir den CIDR-Bereich corp-public-block, um Mitarbeitern der Organisation den Zugriff auf die Google Cloud Console zu ermöglichen.

Mit Access Context Manager können Google Cloud -Organisationsadministratoren eine differenzierte, attributbasierte Zugriffssteuerung für Ressourcen in Google Clouddefinieren.

Zugriffsebenen beschreiben die Anforderungen, die Anfragen erfüllen müssen. Hier einige Beispiele:

• Gerätetyp und Betriebssystem (erfordert eine Chrome Enterprise Premium-Lizenz)
• IP-Adresse
• Standorte
• Nutzeridentität

Wenn die Organisation Access Context Manager zum ersten Mal verwendet, müssen die Administratoren eine Zugriffsrichtlinie definieren. Dies ist ein Container für Zugriffsebenen und Dienstperimeter. So gehts:

1. Klicken Sie in der Projektauswahl oben in der Google Cloud Console auf den Tab Alle und wählen Sie dann Ihre Organisation aus.
2. Folgen Sie der Anleitung auf der Seite Einfache Zugriffsebene erstellen, um eine einfache Zugriffsebene zu erstellen. Geben Sie die folgenden Optionen an:
   1. Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
   2. Geben Sie in das Feld Titel der Zugriffsebene corp-public-block ein.
   3. Wählen Sie im Abschnitt Bedingungen für die Option Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.
   4. Wählen Sie unter IP-Subnetzwerke die Option Öffentliche IP-Adresse aus.
   5. Geben Sie für den IP-Adressbereich den externen CIDR-Bereich an, für den Zugriff auf den VPC Service Controls-Perimeter erforderlich ist.

VPC Service Controls-Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, können Sie den Zugriff auf geschützte Dienste von außerhalb des Perimeters zulassen, indem Sie Zugriffsebenen erstellen (in unserem Beispiel mithilfe von IP-Adressen). In dieser Referenzarchitektur werden mehrere Dienstperimeter erstellt, die den Zugriff auf die Vertex AI API und die Compute Engine API-Kommunikation mithilfe von Ein- und Ausstiegsregeln steuern.

• Dem Subnetz für die Rechenressourcen des Dienstprojekts ph-fm-svc-project-1 ist der Zugriff auf die Vertex AI API und die Compute Engine API in ph-fm-svc-project-1 über aiml-host-project erlaubt.
• Dem Subnetz für Compute-Ressourcen, die zu den Dienstprojekten ph-fm-svc-project-2 und ph-fm-svc-project-3 gehören, ist der Zugriff auf die Vertex AI API und die Compute Engine API in den Projekten ph-fm-svc-project-2 und ph-fm-svc-project-3 von aiml-host-project aus erlaubt.

Jedem Dienstprojekt ist der Zugriff auf die Compute Engine API im Hostprojekt erlaubt, da bidirektionale Verbindungen zwischen dem Hostprojekt und den Dienstprojekten bestehen, wenn Compute-Ressourcen in einem bestimmten Dienstprojekt erstellt werden.

In dieser Referenzarchitektur wird für jedes Subnetz eine Zugriffsebene erstellt, um mithilfe von Ein- und Ausstiegsregeln die erforderlichen Verbindungen zwischen dem Perimeter des Hostprojekts und dem Perimeter jedes Dienstprojekts zuzulassen.

Zugriffsebene erstellen gce-subnet-1

1. Klicken Sie in der Projektauswahl oben in der Google Cloud Console auf den Tab Alle und wählen Sie dann Ihre Organisation aus.
2. Folgen Sie der Anleitung auf der Seite Einfache Zugriffsebene erstellen, um eine einfache Zugriffsebene zu erstellen. Geben Sie die folgenden Optionen an:
   1. Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
   2. Geben Sie in das Feld Titel der Zugriffsebene gce-subnet-1 ein.
   3. Wählen Sie im Abschnitt Bedingungen für die Option Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.
   4. Wählen Sie unter IP-Subnetzwerke die Option Private IP-Adresse aus.
   5. Wählen Sie VPC-Netzwerke aus, geben Sie Ihr Projekt an und wählen Sie den VPC-Namen aus.
   6. Wählen Sie für IP-Subnetzwerke den CIDR-Bereich aus, der dem Subnetz entspricht, das das Hostprojekt für ph-fm-svc-project-1 freigegeben hat.

Zugriffsebene erstellen gce-subnet-2

1. Klicken Sie in der Projektauswahl oben in der Google Cloud Console auf den Tab Alle und wählen Sie dann Ihre Organisation aus.
2. Folgen Sie der Anleitung auf der Seite Einfache Zugriffsebene erstellen, um eine einfache Zugriffsebene zu erstellen. Geben Sie die folgenden Optionen an:
   1. Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
   2. Geben Sie in das Feld Titel der Zugriffsebene gce-subnet-2 ein.
   3. Wählen Sie im Abschnitt Bedingungen für die Option Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.
   4. Wählen Sie unter IP-Subnetzwerke die Option Private IP-Adresse aus.
   5. Wählen Sie VPC-Netzwerke aus, geben Sie Ihr Projekt an und wählen Sie den VPC-Namen aus.
   6. Wählen Sie für IP-Subnetzwerke den CIDR-Bereich aus, der dem Subnetz entspricht, das das Hostprojekt für ph-fm-svc-project-2 freigegeben hat.

Zugriffsebene erstellen gce-subnet-3

1. Klicken Sie in der Projektauswahl oben in der Google Cloud Console auf den Tab Alle und wählen Sie dann Ihre Organisation aus.
2. Folgen Sie der Anleitung auf der Seite Einfache Zugriffsebene erstellen, um eine einfache Zugriffsebene zu erstellen. Geben Sie die folgenden Optionen an:
   1. Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
   2. Geben Sie in das Feld Titel der Zugriffsebene gce-subnet-3 ein.
   3. Wählen Sie im Abschnitt Bedingungen für die Option Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.
   4. Wählen Sie unter IP-Subnetzwerke die Option Private IP-Adresse aus.
   5. Wählen Sie VPC-Netzwerke aus, geben Sie Ihr Projekt an und wählen Sie den VPC-Namen aus.
   6. Wählen Sie für IP-Subnetzwerke den CIDR-Bereich aus, der dem Subnetz entspricht, das das Hostprojekt für ph-fm-svc-project-3 freigegeben hat.

Konfigurationsschritte für aiml-host-perimeter

Konfigurationstyp für den neuen Perimeter auswählen

In diesem Abschnitt erstellen Sie einen Dienstperimeter für VPC Service Controls (aiml-host-perimeter) im Probelaufmodus. Im Probelaufmodus werden Verstöße vom Perimeter so protokolliert, als ob die Perimeter erzwungen würden, der Zugriff auf eingeschränkte Dienste aber nicht verhindert wird. Es wird empfohlen, den Modus „Probelauf“ zu verwenden, bevor Sie zum Modus „Erzwungen“ wechseln.

1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

   Gehen Sie zu Sicherheit.

2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.

4. Klicken Sie auf Neuer Perimeter.

5. Geben Sie auf dem Tab Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein, z. B. aiml-host-perimeter.

   Ein Perimetername darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) und Unterstriche (_) enthalten. Beim Perimeternamen wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb einer Zugriffsrichtlinie eindeutig sein.

6. Akzeptieren Sie die Standardeinstellungen für den Perimeter.

Zu schützende Ressourcen auswählen

1. Klicken Sie auf Zu schützende Ressourcen.
2. So fügen Sie Projekte oder VPC-Netzwerke hinzu, die Sie im Perimeter schützen möchten:
   1. Klicken Sie auf Ressourcen hinzufügen.
   2. Wenn Sie dem Perimeter Projekte hinzufügen möchten, klicken Sie im Bereich Ressourcen hinzufügen auf Projekt hinzufügen.
      1. Wählen Sie das Projekt aus, das Sie hinzufügen möchten, in diesem Fall aiml-host-project.
      2. Klicken Sie auf Auswahl hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

Wählen Sie die eingeschränkten Dienste aus.

In dieser Referenzarchitektur ist der Umfang der eingeschränkten APIs begrenzt. Es sind nur die für Vertex AI erforderlichen APIs aktiviert. Als Best Practice empfehlen wir jedoch, beim Erstellen eines Perimeters alle Dienste einzuschränken, um das Risiko der Daten-Exfiltration aus Google Cloud -Diensten zu verringern.

So wählen Sie die Dienste aus, die Sie im Perimeter sichern möchten:

1. Klicken Sie auf Eingeschränkte Dienste.
2. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
3. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Compute Engine API aus.
4. Klicken Sie auf Compute Engine API hinzufügen.

Optional: Über VPC zugängliche Dienste auswählen

Mit der Einstellung Über VPC zugängliche Dienste wird die Gruppe von Diensten beschränkt, die von Netzwerkendpunkten in Ihrem Dienstperimeter zugänglich sind. In dieser Referenzarchitektur behalten wir die Standardeinstellung Alle Dienste bei.

Optional: Zugriffsebene auswählen

Wenn Sie in einem früheren Abschnitt eine CIDR-Zugriffsebene für Ihr Unternehmen erstellt haben, gehen Sie so vor, um den Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zuzulassen:

1. Klicken Sie auf Zugriffsebenen.

2. Klicken Sie auf das Kästchen Zugriffsebene auswählen.

   Sie können Zugriffsebenen auch hinzufügen, nachdem ein Perimeter erstellt wurde.

3. Klicken Sie auf das Kästchen für die Zugriffsebene. In dieser Referenzarchitektur ist das corp-public-block.

Ingress-Richtlinie konfigurieren

Die bidirektionale Kommunikation zwischen einem Hostprojekt und einem Dienstprojekt erfolgt, wenn in einem bestimmten Dienstprojekt Rechenressourcen erstellt werden, da dem Hostprojekt das VPC-Netzwerk mit dem Subnetz gehört, das mit dem Dienstprojekt geteilt wird. In diesem Abschnitt konfigurieren Sie eine Ingress-Regel, die allen drei Dienstprojekten Zugriff auf Compute-Ressourcen im Hostprojekt für diese Abläufe gewährt.

1. Klicken Sie im linken Menü auf Richtlinie für eingehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Ingress-Regel die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
      2. Quelle: Projekte (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Alle Projekte
      2. Dienste: Ausgewählte Dienste
      3. Ausgewählte Dienste: Compute Engine API
      4. Methoden: Alle Methoden

Egress-Richtlinie konfigurieren

In diesem Abschnitt konfigurieren Sie zwei Ausgehende Regeln.

Erste Regel für ausgehenden Traffic

Da das Hostprojekt Inhaber des mit ph-fm-svc-project-1 freigegebenen Subnetzes ist, ist eine Regel für ausgehenden Traffic erforderlich, damit dieses Subnetz über den Perimeter des Hostprojekts auf den Perimeter von ph-fm-svc-project-1 zugreifen kann. Die Unternehmenszugriffsebene ermöglicht die bidirektionale Kommunikation, die für die Erstellung von Compute-Instanzen erforderlich ist, wenn ein Endnutzer mit der konfigurierten Zugriffsebene Compute-Ressourcen in einem Dienstprojekt erstellt.

1. Klicken Sie im linken Menü auf Richtlinie für ausgehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Regel für ausgehenden Traffic die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
      2. Wählen Sie Quellen für ausgehenden Traffic auf Zugriffsebene aktivieren aus.
      3. Zugriffsebenen corp-public-block und gce-subnet-1
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Ausgewählte Projekte
      2. Projekt hinzufügen: ph-fm-svc-project-1
      3. Dienste: Alle Dienste

Zweite Regel für ausgehenden Traffic

Da dem Hostprojekt die Subnetze gehören, die für ph-fm-svc-project-2 und ph-fm-svc-project-3 freigegeben sind, ist eine Ausgehende Regel erforderlich, damit diese Subnetze über den Perimeter des Hostprojekts auf den Perimeter der Dienstprojekte zugreifen können. Die Unternehmenszugriffsebene ermöglicht die bidirektionale Kommunikation, die für die Erstellung von Compute-Instanzen erforderlich ist, wenn ein Endnutzer Compute-Ressourcen in einem Dienstprojekt mit der konfigurierten Zugriffsebene erstellt.

1. Klicken Sie im linken Menü auf Richtlinie für ausgehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Regel für ausgehenden Traffic die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
      2. Wählen Sie Quellen für ausgehenden Traffic auf Zugriffsebene aktivieren aus.
      3. Zugriffsebenen corp-public-block, gce-subnet-2 und gce-subnet-3
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Ausgewählte Projekte
      2. Projekt hinzufügen: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Dienste: Alle Dienste

Perimeter erstellen

Nachdem Sie die vorherigen Konfigurationsschritte ausgeführt haben, erstellen Sie den Perimeter, indem Sie auf Perimeter erstellen klicken.

Konfigurationsschritte für high-trust-svc-perimeter

Konfigurationstyp für den neuen Perimeter auswählen

1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

   Gehen Sie zu Sicherheit.

2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.

4. Klicken Sie auf Neuer Perimeter.

5. Geben Sie auf dem Tab Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein, z. B. high-trust-svc-perimeter.

   Ein Perimetername darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) und Unterstriche (_) enthalten. Beim Perimeternamen wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb einer Zugriffsrichtlinie eindeutig sein.

6. Akzeptieren Sie die Standardeinstellungen für den Perimeter.

Zu schützende Ressourcen auswählen

1. Klicken Sie auf Zu schützende Ressourcen.
2. So fügen Sie Projekte oder VPC-Netzwerke hinzu, die Sie im Perimeter schützen möchten:
   1. Klicken Sie auf Ressourcen hinzufügen.
   2. Wenn Sie dem Perimeter Projekte hinzufügen möchten, klicken Sie im Bereich Ressourcen hinzufügen auf Projekt hinzufügen.
      1. Wählen Sie das Projekt aus, das Sie hinzufügen möchten, in diesem Fall ph-fm-svc-project-1.
      2. Klicken Sie auf Auswahl hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

Wählen Sie die eingeschränkten Dienste aus.

In dieser Referenzarchitektur ist der Umfang der eingeschränkten APIs begrenzt. Es sind nur die für Gemini erforderlichen APIs aktiviert. Als Best Practice empfehlen wir jedoch, beim Erstellen eines Perimeters alle Dienste einzuschränken, um das Risiko der Daten-Exfiltration aus Google Cloud -Diensten zu verringern.

So wählen Sie die Dienste aus, die Sie im Perimeter sichern möchten:

1. Klicken Sie auf Eingeschränkte Dienste.
2. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
3. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Compute Engine API aus.
4. Klicken Sie auf Compute Engine API hinzufügen.
5. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
6. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option „Vertex AI API“ aus.
7. Klicken Sie auf Vertex AI API hinzufügen.

Optional: Über VPC zugängliche Dienste auswählen

Mit der Einstellung Über VPC zugängliche Dienste wird die Gruppe von Diensten beschränkt, die von Netzwerkendpunkten in Ihrem Dienstperimeter zugänglich sind. In dieser Referenzarchitektur behalten wir die Standardeinstellung Alle Dienste bei.

Optional: Zugriffsebene auswählen

Wenn Sie in einem früheren Abschnitt eine CIDR-Zugriffsebene für Ihr Unternehmen erstellt haben, gehen Sie so vor, um den Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zuzulassen:

1. Klicken Sie auf Zugriffsebenen.

2. Klicken Sie auf das Kästchen Zugriffsebene auswählen.

   Sie können Zugriffsebenen auch hinzufügen, nachdem ein Perimeter erstellt wurde.

3. Klicken Sie auf das Kästchen für die Zugriffsebene. In dieser Referenzarchitektur ist das corp-public-block.

Ingress-Richtlinie konfigurieren

Da das Hostprojekt Inhaber des mit ph-fm-svc-project-1 freigegebenen Subnetzes ist, ist eine Ingress-Regel erforderlich, um diesem Subnetz Zugriff auf den Perimeter von ph-fm-svc-project-1 vom Hostprojekt aus zu gewähren. Dadurch können die Compute-Instanzen von ph-fm-svc-project-1 auf den verwalteten Dienst innerhalb von ph-fm-svc-project-1 zugreifen.

1. Klicken Sie im linken Menü auf Richtlinie für eingehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Ingress-Regel die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
      2. Quelle: Zugriffsebene
      3. Zugriffsebene: gce-subnet-1
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Alle Projekte
      2. Dienste: Alle Dienste

Egress-Richtlinie konfigurieren

Da das Hostprojekt Inhaber des mit ph-fm-svc-project-1 freigegebenen Subnetzes ist, ist eine Ausgehende Regel erforderlich, um die bidirektionale Kommunikation zwischen dem Dienstprojekt und seinem Hostprojekt zuzulassen, wenn Compute-Ressourcen im Dienstprojekt erstellt werden.

1. Klicken Sie im linken Menü auf Richtlinie für ausgehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Regel für ausgehenden Traffic die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Ausgewählte Projekte
      2. Projekt hinzufügen: aiml-host-project
      3. Dienste: Ausgewählte Dienste
      4. Ausgewählte Dienste: Compute Engine API
      5. Methoden: Alle Methoden

Perimeter erstellen

Nachdem Sie die vorherigen Konfigurationsschritte ausgeführt haben, erstellen Sie den Perimeter, indem Sie auf Perimeter erstellen klicken.

Konfigurationsschritte für low-trust-svc-perimeter

Konfigurationstyp für den neuen Perimeter auswählen

1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

   Gehen Sie zu Sicherheit.

2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

3. Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.

4. Klicken Sie auf Neuer Perimeter.

5. Geben Sie auf dem Tab Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein, z. B. low-trust-svc-perimeter.

   Ein Perimetername darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur lateinische ASCII-Buchstaben (a-z, A-Z), Zahlen (0-9) und Unterstriche (_) enthalten. Beim Perimeternamen wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb einer Zugriffsrichtlinie eindeutig sein.

6. Akzeptieren Sie die Standardeinstellungen für den Perimeter.

Zu schützende Ressourcen auswählen

1. Klicken Sie auf Zu schützende Ressourcen.
2. So fügen Sie Projekte oder VPC-Netzwerke hinzu, die Sie im Perimeter schützen möchten:
   1. Klicken Sie auf Ressourcen hinzufügen.
   2. Wenn Sie dem Perimeter Projekte hinzufügen möchten, klicken Sie im Bereich Ressourcen hinzufügen auf Projekt hinzufügen.
      1. Wählen Sie das Projekt aus, das Sie hinzufügen möchten. Wählen Sie für diese Referenzarchitektur Folgendes aus:
         • ph-fm-svc-project-2
         • ph-fm-svc-project-3
      2. Klicken Sie auf Auswahl hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

Wählen Sie die eingeschränkten Dienste aus.

In dieser Referenzarchitektur ist der Umfang der eingeschränkten APIs begrenzt. Es sind nur die für Gemini erforderlichen APIs aktiviert. Als Best Practice empfehlen wir jedoch, beim Erstellen eines Perimeters alle Dienste einzuschränken, um das Risiko der Daten-Exfiltration aus Google Cloud -Diensten zu verringern.

So wählen Sie die Dienste aus, die Sie im Perimeter sichern möchten:

1. Klicken Sie auf Eingeschränkte Dienste.
2. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
3. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Compute Engine API aus.
4. Klicken Sie auf Compute Engine API hinzufügen.
5. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.
6. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option „Vertex AI API“ aus.
7. Klicken Sie auf Vertex AI API hinzufügen.

Optional: Über VPC zugängliche Dienste auswählen

Mit der Einstellung Über VPC zugängliche Dienste wird die Gruppe von Diensten beschränkt, die von Netzwerkendpunkten in Ihrem Dienstperimeter zugänglich sind. In dieser Referenzarchitektur behalten wir die Standardeinstellung Alle Dienste bei.

Optional: Zugriffsebene auswählen

Wenn Sie in einem früheren Abschnitt eine CIDR-Zugriffsebene für Ihr Unternehmen erstellt haben, gehen Sie so vor, um den Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zuzulassen:

1. Klicken Sie auf Zugriffsebenen.

2. Klicken Sie auf das Kästchen Zugriffsebene auswählen.

   Sie können Zugriffsebenen auch hinzufügen, nachdem ein Perimeter erstellt wurde.

3. Klicken Sie auf das Kästchen für die Zugriffsebene. In dieser Referenzarchitektur ist das corp-public-block.

Ingress-Richtlinie konfigurieren

Da das Hostprojekt das Subnetz besitzt, das für ph-fm-svc-project-2 und ph-fm-svc-project-3 freigegeben ist, ist eine Ingress-Regel erforderlich, um diesen Subnetzen Zugriff auf den Perimeter des Dienstprojekts über das Hostprojekt zu gewähren. So können die Compute-Instanzen dieser Dienstprojekte auf den verwalteten Dienst in ph-fm-svc-project-2 und ph-fm-svc-project-3 zugreifen.

1. Klicken Sie im linken Menü auf Richtlinie für eingehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Ingress-Regel die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
      2. Quelle: Zugriffsebene
      3. Zugriffsebene: gce-subnet-2, gce-subnet-3
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Alle Projekte
      2. Dienste: Alle Dienste

Egress-Richtlinie konfigurieren

Da das Hostprojekt Inhaber des mit ph-fm-svc-project-２ und ph-fm-svc-project-3 freigegebenen Subnetzes ist, ist eine Ausgehende Regel erforderlich, um die bidirektionale Kommunikation zwischen den Dienstprojekten und ihrem Hostprojekt zuzulassen, wenn Compute-Ressourcen in den Dienstprojekten erstellt werden.

1. Klicken Sie im linken Menü auf Richtlinie für ausgehenden Traffic.
2. Klicken Sie auf Regel hinzufügen.
3. Führen Sie im Bereich Regel für ausgehenden Traffic die folgenden Schritte aus:
   1. Wählen Sie für FROM-Attribute die folgenden FROM-Attribute des API-Clients aus:
      1. Identität: beliebige Identität
   2. Wählen Sie unter TO-Attribute die folgenden TO-Attribute von Google CloudDiensten und Ressourcen aus:
      1. Projekt: Ausgewählte Projekte
      2. Projekt hinzufügen: aiml-host-project
      3. Dienste: Ausgewählte Dienste
      4. Ausgewählte Dienste: Compute Engine API
      5. Methoden: Alle Methoden

Perimeter erstellen

Nachdem Sie die vorherigen Konfigurationsschritte ausgeführt haben, erstellen Sie den Perimeter, indem Sie auf Perimeter erstellen klicken.

Netzwerk konfigurieren

Private Service Connect-Endpunkt für den Zugriff auf Google APIs verwenden

Private Service Connect für den Zugriff auf Google APIs ist eine Alternative zum privaten Google-Zugriff oder zu den öffentlichen Domainnamen für Google APIs. In diesem Fall ist Google der Ersteller.

Mit Private Service Connect haben Sie folgende Möglichkeiten:

• Eine oder mehrere interne IP-Adressen für den Zugriff auf Google APIs für verschiedene Anwendungsfälle erstellen.
• Leiten Sie Ihren lokalen Traffic beim Zugreifen auf Google APIs an bestimmte IP-Adressen und Regionen weiter.
• Erstellen Sie einen benutzerdefinierten DNS-Namen für den Endpunkt, der für die Auflösung von Google APIs verwendet werden soll.

In der Referenzarchitektur wird ein Private Service Connect-Google API-Endpunkt mit dem Namen restricted und der IP-Adresse 192.168.10.2 mit den Ziel-VPC Service Controls bereitgestellt. Er wird als virtuelle IP-Adresse (VIP) für den Zugriff auf eingeschränkte Dienste verwendet, die im VPC Service Controls-Perimeter konfiguriert sind. Der Private Service Connect-Endpunkt wird im Hostprojekt aiml-host-project bereitgestellt.

Über Compute Engine-Instanzen auf Gemini Pro zugreifen

Wenn Sie einen Private Service Connect-Endpunkt erstellen, erstellt Service Directory DNS-Einträge in einer p.googleapis.com-privaten Zone. Die Einträge verweisen auf die Endpunkt-IP-Adresse und verwenden das Format SERVICE-ENDPOINT.p.googleapis.com, das dem voll qualifizierten Domainnamen entspricht, der für den Zugriff auf die Vertex AI API verwendet wird: LOCATION-aiplatform-restricted.p.googleapis.com.

Netzwerkkonfiguration prüfen

Mit dem folgenden Verfahren wird die Vertex AI API über die in den Dienstprojekten bereitgestellten Compute Engine-Instanzen aktualisiert, um den benutzerdefinierten voll qualifizierten Domainnamen zu verwenden und eine Validierung durchzuführen.

1. Initialisieren Sie Ihre Python-Umgebungsvariablen so:

   PROJECT_ID="ph-fm-svc-project-1"
   LOCATION_ID="us-central1"
   API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
   MODEL_ID="gemini-2.0-flash-exp"
   GENERATE_CONTENT_API="streamGenerateContent"
   

2. Erstellen Sie mit einem Texteditor eine request.json-Datei mit der folgenden JSON-Datei:

   {
     "contents": [
       {
         "role": "user",
         "parts": [
           {
             "text": "what weight more 1kg feathers vs 1kg stones"
           }
         ]
       }
     ],
     "generationConfig": {
       "temperature": 1,
       "maxOutputTokens": 8192,
       "topP": 0.95,
       "seed": 0
     },
     "safetySettings": [
       {
         "category": "HARM_CATEGORY_HATE_SPEECH",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_HARASSMENT",
         "threshold": "OFF"
       }
     ]
   }
   

3. Senden Sie die folgende cURL-Anfrage an die Vertex AI Gemini API:

   curl \
   -X POST \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
   

Perimeter im Probelaufmodus validieren

In dieser Referenzarchitektur ist der Dienstperimeter im Modus „Probelauf“ konfiguriert, sodass Sie die Auswirkungen der Zugriffsrichtlinie ohne Erzwingung testen können. So können Sie sehen, wie sich Ihre Richtlinien auf Ihre Umgebung auswirken würden, wenn sie aktiv wären, ohne dass legitime Zugriffe beeinträchtigt werden.

Informationen zum Validieren Ihres Perimeters im Modus „Probelauf“ finden Sie im YouTube-Video VPC Service Controls-Protokollierung für den Probelauf.

Nachdem Sie den Perimeter im Probelaufmodus validiert haben, wechseln Sie in den Erzwingungsmodus.