Permite el acceso a recursos protegidos desde un extremo privado dentro de un perímetro de Controles del servicio de VPC

En las arquitecturas de VPC compartida, la red del proyecto host se comparte con el proyecto de servicio. Hasta hace poco, esto impedía separar estos proyectos en diferentes perímetros. Con la introducción de las reglas de entrada y salidabasadas en direcciones IP privadas, los proyectos de host y servicio ahora pueden residir en perímetros separados y, al mismo tiempo, mantener un acceso controlado a través de estas reglas.

Arquitectura de referencia

Los siguientes atributos se usan en la política de servicio:

  • Perímetros de los Controles del servicio de VPC
  • Direcciones IP privadas de Access Context Manager
  • Reglas de entrada y salida

En el componente de red, esta arquitectura usa un extremo de Private Service Connect para acceder a las APIs de Google.

Diagrama de arquitectura del uso de los Controles del servicio de VPC para crear un perímetro de servicio.

En esta arquitectura de referencia, se usan reglas de entrada y salida, y direcciones IP privadas para controlar el acceso entre las instancias de Compute Engine y la API de Vertex AI para los siguientes perímetros de servicio y proyectos:

Perímetro Proyectos dentro del perímetro
aiml-host-perimeter aiml-host-project
high-trust-svc-perimeter ph-fm-svc-project-1
low-trust-svc-perimeter ph-fm-svc-project-2, ph-fm-svc-project-3

El acceso a la API de Vertex AI desde las instancias de Compute Engine de cada proyecto de servicio se controla con las reglas de entrada y salida de los Controles del servicio de VPC. Estas reglas usan los niveles de acceso de Access Context Manager que se configuran con direcciones IP privadas para permitir que las subredes compartidas con cada proyecto de servicio accedan a sus respectivos perímetros.

Opcional: Crea un nivel de acceso para el tráfico público de la organización

Si tus usuarios finales requieren acceso a Vertex AI a través de la console de Google Cloud, sigue las instrucciones de esta sección para crear un nivel de acceso para usarlo en los Controles del servicio de VPC. Sin embargo, si el acceso a las APIs es estrictamente programático desde fuentes privadas (como en las instalaciones con Acceso privado a Google para instalaciones locales o estaciones de trabajo en la nube), no se requiere el nivel de acceso.

En esta arquitectura de referencia, usamos un rango CIDR, corp-public-block, para permitir que el tráfico de los empleados de la organización acceda a la consola de Google Cloud.

Access Context Manager permite a los administradores de Google Cloud organizaciones definir un control de acceso detallado basado en atributos para los recursos en Google Cloud.

Los niveles de acceso describen los requisitos que se deben cumplir para que se respeten las solicitudes. Los ejemplos incluyen:

  • Tipo de dispositivo y sistema operativo (requiere una licencia de Chrome Enterprise Premium)
  • Dirección IP
  • Ubicación geográfica
  • Identidad de usuario

Si es la primera vez que la organización usa Access Context Manager, sus administradores deben definir una política de acceso, que es un contenedor para los niveles de acceso y los perímetros de servicio. Para ello, sigue estos pasos:

  1. En el selector de proyectos en la parte superior de la consola de Google Cloud, haz clic en la pestaña Todos y, luego, selecciona tu organización.
  2. Para crear un nivel de acceso básico, sigue las instrucciones que se indican en la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
    1. En Crear condiciones en, elige Modo básico.
    2. En el campo Título del nivel de acceso ingresa corp-public-block.
    3. En la sección Condiciones, en la opción Cuando se cumpla la condición, muestra, elige VERDADERO.
    4. En Subredes de IP, elige IP pública.
    5. Para el rango de direcciones IP, especifica el rango de CIDR externo que requiere acceso al perímetro de los Controles del servicio de VPC.

Compila el perímetro de servicio de los Controles del servicio de VPC

Cuando creas un perímetro de servicio, una forma de permitir el acceso a los servicios protegidos desde fuera del perímetro es creando niveles de acceso (con direcciones IP, en nuestro ejemplo). En esta arquitectura de referencia, se crean varios perímetros de servicios que usan reglas de entrada y salida para controlar el acceso a la API de Vertex AI y la comunicación de la API de Compute Engine de la siguiente manera:

  • La subred para los recursos de procesamiento que pertenecen al proyecto de servicio ph-fm-svc-project-1 tiene acceso a la API de Vertex AI y a la API de Compute Engine en ph-fm-svc-project-1 desde aiml-host-project.
  • La subred para los recursos de procesamiento que pertenecen a los proyectos de servicio ph-fm-svc-project-2 y ph-fm-svc-project-3 tiene acceso a la API de Vertex AI y a la API de Compute Engine en los proyectos ph-fm-svc-project-2 y ph-fm-svc-project-3 desde aiml-host-project.

Cada proyecto de servicio tiene acceso a la API de Compute Engine en el proyecto host (porque se producen flujos bidireccionales entre el proyecto host y los proyectos de servicio cuando se crean recursos de procesamiento en un proyecto de servicio determinado).

En esta arquitectura de referencia, se crea un nivel de acceso para cada subred para usar reglas de entrada y salida que permitan los flujos necesarios entre el perímetro del proyecto de host y cada perímetro del proyecto de servicio.

Crea el nivel de acceso gce-subnet-1

  1. En el selector de proyectos en la parte superior de la consola de Google Cloud, haz clic en la pestaña Todos y, luego, selecciona tu organización.
  2. Para crear un nivel de acceso básico, sigue las instrucciones que se indican en la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
    1. En Crear condiciones en, elige Modo básico.
    2. En el campo Título del nivel de acceso ingresa gce-subnet-1.
    3. En la sección Condiciones, para la opción Cuando se cumpla la condición, muestra, elige VERDADERO.
    4. En Subredes de IP, elige IP privada.
    5. Selecciona Redes de VPC, identifica tu proyecto y selecciona el nombre de tu VPC.
    6. En Subredes de IP, selecciona el rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-1.

Crea el nivel de acceso gce-subnet-2

  1. En el selector de proyectos en la parte superior de la consola de Google Cloud, haz clic en la pestaña Todos y, luego, selecciona tu organización.
  2. Para crear un nivel de acceso básico, sigue las instrucciones que se indican en la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
    1. En Crear condiciones en, elige Modo básico.
    2. En el campo Título del nivel de acceso ingresa gce-subnet-2.
    3. En la sección Condiciones, para la opción Cuando se cumpla la condición, muestra, elige VERDADERO.
    4. En Subredes de IP, elige IP privada.
    5. Selecciona Redes de VPC, identifica tu proyecto y selecciona el nombre de tu VPC.
    6. En Subredes de IP, selecciona el rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-2.

Crea el nivel de acceso gce-subnet-3

  1. En el selector de proyectos en la parte superior de la consola de Google Cloud, haz clic en la pestaña Todos y, luego, selecciona tu organización.
  2. Para crear un nivel de acceso básico, sigue las instrucciones que se indican en la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
    1. En Crear condiciones en, elige Modo básico.
    2. En el campo Título del nivel de acceso ingresa gce-subnet-3.
    3. En la sección Condiciones, para la opción Cuando se cumpla la condición, muestra, elige VERDADERO.
    4. En Subredes de IP, elige IP privada.
    5. Selecciona Redes de VPC, identifica tu proyecto y selecciona el nombre de tu VPC.
    6. En Subredes de IP, selecciona el rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-3.

Pasos de configuración para aiml-host-perimeter

Selecciona el tipo de configuración del perímetro nuevo.

En esta sección, crearás un perímetro de servicio de los Controles del servicio de VPC (aiml-host-perimeter) en el modo de ejecución de prueba. En el modo de ejecución de prueba, el perímetro registra las infracciones como si los perímetros fueran de aplicación forzosa, pero no impide el acceso a los servicios restringidos. Se recomienda usar el modo de ejecución de prueba antes de cambiar al modo forzoso.

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a Seguridad

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

  4. Haz clic en Perímetro nuevo.

  5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, aiml-host-perimeter.

    El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

  6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que quieres proteger

  1. Haz clic en Recursos de protección.
  2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
    1. Haz clic en Agregar recursos.
    2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar, en este caso aiml-host-project.
      2. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Projects.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, lo que habilita solo las APIs necesarias para Vertex AI. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

  1. Haz clic en Servicios restringidos.
  2. En el panel Servicios restringidos, haz clic en Agregar servicios.
  3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
  4. Haz clic en Agregar API de Compute Engine.

Opcional: Selecciona los servicios accesibles de la VPC

La configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, mantenemos la configuración predeterminada de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

  1. Haz clic en Niveles de acceso.
  2. Haz clic en el cuadro Selecciona el nivel de acceso.

    También puedes agregar niveles de acceso después de crear un perímetro.

  3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

La comunicación bidireccional se produce entre un proyecto host y un proyecto de servicio cuando se crean recursos de procesamiento en un proyecto de servicio determinado, ya que el proyecto host es propietario de la red de VPC que contiene la subred que se comparte con el proyecto de servicio. En esta sección, configurarás una regla de entrada que permita a los tres proyectos de servicio acceder a los recursos de procesamiento en el proyecto host para estos flujos.

  1. En el menú de la izquierda, haz clic en Política de entrada.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de entrada, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Fuente: Proyectos (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Servicios seleccionados
      3. Servicios seleccionados: API de Compute Engine
      4. Métodos: Todos los métodos

Configura la política de salida

En esta sección, configurarás dos reglas de salida.

Primera regla de salida

Como el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de salida para permitir que esa subred acceda al perímetro de ph-fm-svc-project-1 desde el perímetro del proyecto host. El nivel de acceso corporativo habilita la comunicación bidireccional necesaria para la creación de instancias de procesamiento cuando un usuario final crea recursos de procesamiento en un proyecto de servicio con el nivel de acceso configurado.

  1. En el menú de la izquierda, haga clic en Política de salida.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de salida, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Selecciona Habilitar las fuentes de salida de nivel de acceso.
      3. Niveles de acceso corp-public-block y gce-subnet-1.
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: ph-fm-svc-project-1
      3. Servicios: Todos los servicios

Segunda regla de salida

Debido a que el proyecto host es propietario de las subredes compartidas con ph-fm-svc-project-2 y ph-fm-svc-project-3, se requiere una regla de salida para permitir que esas subredes accedan al perímetro de los proyectos de servicio desde el perímetro del proyecto host. El nivel de acceso corporativo habilita la comunicación bidireccional necesaria para la creación de instancias de procesamiento cuando un usuario final crea recursos de procesamiento en un proyecto de servicio con el nivel de acceso configurado.

  1. En el menú de la izquierda, haga clic en Política de salida.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de salida, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Selecciona Habilitar las fuentes de salida de nivel de acceso.
      3. Niveles de acceso corp-public-block, gce-subnet-2 y gce-subnet-3.
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Servicios: Todos los servicios

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crearlo.

Pasos de configuración para high-trust-svc-perimeter

Selecciona el tipo de configuración del perímetro nuevo.

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a Seguridad

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

  4. Haz clic en Perímetro nuevo.

  5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, high-trust-svc-perimeter.

    El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

  6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que quieres proteger

  1. Haz clic en Recursos de protección.
  2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
    1. Haz clic en Agregar recursos.
    2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar, en este caso ph-fm-svc-project-1.
      2. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Projects.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, lo que habilita solo las APIs necesarias para Gemini. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

  1. Haz clic en Servicios restringidos.
  2. En el panel Servicios restringidos, haz clic en Agregar servicios.
  3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
  4. Haz clic en Agregar API de Compute Engine.
  5. En el panel Servicios restringidos, haz clic en Agregar servicios.
  6. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Vertex AI.
  7. Haz clic en Agregar la API de Vertex AI.

Opcional: Selecciona los servicios accesibles de la VPC

La configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, mantenemos la configuración predeterminada de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

  1. Haz clic en Niveles de acceso.
  2. Haz clic en el cuadro Selecciona el nivel de acceso.

    También puedes agregar niveles de acceso después de crear un perímetro.

  3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

Como el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de entrada para permitir que esa subred acceda al perímetro de ph-fm-svc-project-1 desde el proyecto host. Esto permite que las instancias de procesamiento de ph-fm-svc-project-1 accedan al servicio administrado dentro de ph-fm-svc-project-1.

  1. En el menú de la izquierda, haz clic en Política de entrada.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de entrada, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Source: Nivel de acceso
      3. Nivel de acceso: gce-subnet-1
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Todos los servicios

Configura la política de salida

Como el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de salida para permitir la comunicación bidireccional que se produce entre el proyecto de servicio y su proyecto host cuando se crean recursos de procesamiento en el proyecto de servicio.

  1. En el menú de la izquierda, haga clic en Política de salida.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de salida, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: aiml-host-project
      3. Servicios: Servicios seleccionados
      4. Servicios seleccionados: API de Compute Engine
      5. Métodos: Todos los métodos

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crearlo.

Pasos de configuración para low-trust-svc-perimeter

Selecciona el tipo de configuración del perímetro nuevo.

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a Seguridad

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

  4. Haz clic en Perímetro nuevo.

  5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, low-trust-svc-perimeter.

    El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

  6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que quieres proteger

  1. Haz clic en Recursos de protección.
  2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
    1. Haz clic en Agregar recursos.
    2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar. Para esta arquitectura de referencia, elige lo siguiente:
        • ph-fm-svc-project-2
        • ph-fm-svc-project-3
      2. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Projects.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, lo que habilita solo las APIs necesarias para Gemini. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

  1. Haz clic en Servicios restringidos.
  2. En el panel Servicios restringidos, haz clic en Agregar servicios.
  3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
  4. Haz clic en Agregar API de Compute Engine.
  5. En el panel Servicios restringidos, haz clic en Agregar servicios.
  6. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Vertex AI.
  7. Haz clic en Agregar la API de Vertex AI.

Opcional: Selecciona los servicios accesibles de la VPC

La configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, mantenemos la configuración predeterminada de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

  1. Haz clic en Niveles de acceso.
  2. Haz clic en el cuadro Selecciona el nivel de acceso.

    También puedes agregar niveles de acceso después de crear un perímetro.

  3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

Como el proyecto host es propietario de la subred compartida con ph-fm-svc-project-2 y ph-fm-svc-project-3, se requiere una regla de entrada para otorgarles a esas subredes acceso al perímetro del proyecto de servicio desde el proyecto host. Esto permite que las instancias de procesamiento de estos proyectos de servicio accedan al servicio administrado dentro de ph-fm-svc-project-2 y ph-fm-svc-project-3.

  1. En el menú de la izquierda, haz clic en Política de entrada.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de entrada, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Source: Nivel de acceso
      3. Nivel de acceso: gce-subnet-2, gce-subnet-3
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Todos los servicios

Configura la política de salida

Debido a que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-2 y ph-fm-svc-project-3, se requiere una regla de salida para permitir la comunicación bidireccional que se produce entre los proyectos de servicio y su proyecto host cuando se crean recursos de procesamiento en los proyectos de servicio.

  1. En el menú de la izquierda, haga clic en Política de salida.
  2. Haz clic en Agregar regla.
  3. En el panel Regla de salida, haz lo siguiente:
    1. En Atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
    2. En Atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: aiml-host-project
      3. Servicios: Servicios seleccionados
      4. Servicios seleccionados: API de Compute Engine
      5. Métodos: Todos los métodos

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crearlo.

Configura la red

Usa un extremo de Private Service Connect para acceder a las APIs de Google

Private Service Connect para acceder a las APIs de Google es una alternativa al uso del acceso privado a Google o los nombres de dominio público para las APIs de Google. En este caso, el productor es Google.

El uso de Private Service Connect te permite hacer lo siguiente:

  • Crear una o más direcciones IP internas para acceder a las APIs de Google en diferentes casos de uso
  • Dirige el tráfico local a direcciones IP y regiones específicas cuando accedas a las APIs de Google.
  • Crea un nombre de DNS de extremo personalizado que se usará para resolver las APIs de Google.

En la arquitectura de referencia, se implementa un extremo de la API de Google de Private Service Connect llamado restricted con la dirección IP 192.168.10.2 con los Controles del servicio de VPC de destino, que se usa como una IP virtual (VIP) para acceder a servicios restringidos configurados en el perímetro de los Controles del servicio de VPC. El extremo de Private Service Connect se implementa en el proyecto anfitrión, aiml-host-project.

Accede a Gemini Pro desde instancias de Compute Engine

Cuando creas un extremo de Private Service Connect, el Directorio de servicios crea registros DNS en una zona privada p.googleapis.com. Los registros apuntan a la dirección IP del extremo y usan el formato SERVICE-ENDPOINT.p.googleapis.com que equivale al nombre de dominio completamente calificado que se usa para acceder a la API de Vertex AI: LOCATION-aiplatform-restricted.p.googleapis.com.

Valida la configuración de red

Desde las instancias de Compute Engine implementadas en los proyectos de servicio, se usa el siguiente procedimiento para actualizar la API de Vertex AI para que use el nombre de dominio completamente calificado personalizado y realice la validación.

  1. Inicializa las variables de entorno de Python de la siguiente manera:

    PROJECT_ID="ph-fm-svc-project-1"
    LOCATION_ID="us-central1"
    API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
    MODEL_ID="gemini-2.0-flash-exp"
    GENERATE_CONTENT_API="streamGenerateContent"
    
  2. Con un editor de texto, crea un archivo request.json que contenga el siguiente JSON:

    {
      "contents": [
        {
          "role": "user",
          "parts": [
            {
              "text": "what weight more 1kg feathers vs 1kg stones"
            }
          ]
        }
      ],
      "generationConfig": {
        "temperature": 1,
        "maxOutputTokens": 8192,
        "topP": 0.95,
        "seed": 0
      },
      "safetySettings": [
        {
          "category": "HARM_CATEGORY_HATE_SPEECH",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_HARASSMENT",
          "threshold": "OFF"
        }
      ]
    }
    
  3. Realiza la siguiente solicitud de cURL a la API de Gemini de Vertex AI:

    curl \
    -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
    

Valida tu perímetro en modo de ejecución de prueba

En esta arquitectura de referencia, el perímetro de servicio se configura en el modo de ejecución de prueba, lo que te permite probar el efecto de la política de acceso sin aplicación forzosa. Esto significa que puedes ver cómo tus políticas afectarían tu entorno si estuvieran activas, pero sin correr el riesgo de interrumpir el tráfico legítimo.

Para obtener información sobre cómo validar tu perímetro en el modo de ejecución de prueba, mira el video de YouTube sobre registros de ejecución de prueba de los Controles del servicio de VPC.

Después de validar tu perímetro en el modo de ejecución de prueba, cámbialo al modo de aplicación forzosa.