Permite el acceso a recursos protegidos desde un extremo privado dentro de un perímetro de Controles del servicio de VPC

En las arquitecturas de VPC compartida, la red del proyecto host se comparte con el proyecto de servicio. Hasta hace poco, esto impedía separar estos proyectos en diferentes perímetros. Con la introducción de las reglas de entrada y salida basadas en direcciones IP privadas, los proyectos de host y de servicio ahora pueden residir en perímetros separados y, al mismo tiempo, mantener el acceso controlado a través de estas reglas.

Arquitectura de referencia

En la política de servicio, se usan los siguientes atributos:

• Perímetros de los Controles del servicio de VPC
• Direcciones IP privadas de Access Context Manager
• Reglas de entrada y salida

En el componente de redes, esta arquitectura usa un extremo de Private Service Connect para acceder a las APIs de Google.

En esta arquitectura de referencia, se usan reglas de entrada y salida, y direcciones IP privadas para controlar el acceso entre las instancias de Compute Engine y la API de Vertex AI para los siguientes perímetros de servicio y proyectos:

Perímetro	Proyectos dentro del perímetro
aiml-host-perimeter	aiml-host-project
high-trust-svc-perimeter	ph-fm-svc-project-1
low-trust-svc-perimeter	ph-fm-svc-project-2, ph-fm-svc-project-3

El acceso a la API de Vertex AI desde las instancias de Compute Engine de cada proyecto de servicio se controla con las reglas de entrada y salida de los Controles del servicio de VPC. Estas reglas usan niveles de acceso de Access Context Manager que se configuran con direcciones IP privadas para permitir que las subredes compartidas con cada proyecto de servicio accedan a sus respectivos perímetros.

Opcional: Crea un nivel de acceso para el tráfico público de la organización

Si tus usuarios finales requieren acceso a Vertex AI a través de la consola deGoogle Cloud , sigue las instrucciones de esta sección para crear un nivel de acceso que se pueda usar en los Controles del servicio de VPC. Sin embargo, si el acceso a las APIs es estrictamente programático desde fuentes privadas (como en las instalaciones con Acceso privado a Google para instalaciones locales o Cloud Workstations), no se requiere el nivel de acceso.

En esta arquitectura de referencia, usamos un rango de CIDR, corp-public-block, para permitir que el tráfico de los empleados de la organización acceda a la consola deGoogle Cloud .

Access Context Manager permite a los administradores de la organización Google Cloud definir un control de acceso detallado basado en atributos para los recursos en Google Cloud.

Los niveles de acceso describen los requisitos que se deben cumplir para que se respeten las solicitudes. Los ejemplos incluyen:

• Tipo de dispositivo y sistema operativo (requiere una licencia de Chrome Enterprise Premium)
• Dirección IP
• Ubicación geográfica
• Identidad de usuario

Si es la primera vez que la organización usa Access Context Manager, sus administradores deben definir una política de acceso, que es un contenedor para los niveles de acceso y los perímetros de servicio. Esto se hace de la siguiente manera:

1. En el selector de proyectos que se encuentra en la parte superior de la consola de Google Cloud , haz clic en la pestañaTodos y, luego, selecciona tu organización.
2. Crea un nivel de acceso básico siguiendo las instrucciones de la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
   1. En Crear condiciones en, elige Modo básico.
   2. En el campo Título del nivel de acceso ingresa corp-public-block.
   3. En la sección Condiciones, para la opción Cuando se cumpla la condición, se mostrará, elige VERDADERO.
   4. En Subredes de IP, elige IP pública.
   5. Para el rango de direcciones IP, especifica tu rango de CIDR externo que requiere acceso al perímetro de los Controles del servicio de VPC.

Compila el perímetro de servicio de los Controles del servicio de VPC

Cuando creas un perímetro de servicio, una forma de permitir el acceso a los servicios protegidos desde fuera del perímetro es crear niveles de acceso (con direcciones IP, en nuestro ejemplo). En esta arquitectura de referencia, se crean varios perímetros de servicio que usan reglas de entrada y salida para controlar el acceso a la API de Vertex AI y la comunicación de la API de Compute Engine de la siguiente manera:

• La subred de los recursos de procesamiento que pertenecen al proyecto de servicio ph-fm-svc-project-1 tiene acceso permitido a la API de Vertex AI y a la API de Compute Engine en ph-fm-svc-project-1 desde aiml-host-project.
• La subred para los recursos de procesamiento que pertenecen a los proyectos de servicio ph-fm-svc-project-2 y ph-fm-svc-project-3 tiene acceso permitido a la API de Vertex AI y a la API de Compute Engine en el proyecto ph-fm-svc-project-2 y el proyecto ph-fm-svc-project-3 desde aiml-host-project.

Cada proyecto de servicio tiene acceso a la API de Compute Engine en el proyecto host (porque se producen flujos bidireccionales entre el proyecto host y los proyectos de servicio cuando se crean recursos de procesamiento en un proyecto de servicio determinado).

En esta arquitectura de referencia, se crea un nivel de acceso para cada subred con el objetivo de usar reglas de entrada y salida para permitir los flujos requeridos entre el perímetro del proyecto host y el perímetro de cada proyecto de servicio.

Crear nivel de acceso gce-subnet-1

1. En el selector de proyectos que se encuentra en la parte superior de la consola de Google Cloud , haz clic en la pestaña Todos y, luego, selecciona tu organización.
2. Crea un nivel de acceso básico siguiendo las instrucciones de la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
   1. En Crear condiciones en, elige Modo básico.
   2. En el campo Título del nivel de acceso ingresa gce-subnet-1.
   3. En la sección Condiciones, para la opción Cuando se cumpla la condición, se mostrará, elige VERDADERO.
   4. En Subredes de IP, elige IP privada.
   5. Selecciona Redes de VPC, identifica tu proyecto y selecciona tu nombre de VPC.
   6. En Subredes de IP, selecciona tu rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-1.

Crear nivel de acceso gce-subnet-2

1. En el selector de proyectos que se encuentra en la parte superior de la consola de Google Cloud , haz clic en la pestaña Todos y, luego, selecciona tu organización.
2. Crea un nivel de acceso básico siguiendo las instrucciones de la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
   1. En Crear condiciones en, elige Modo básico.
   2. En el campo Título del nivel de acceso ingresa gce-subnet-2.
   3. En la sección Condiciones, para la opción Cuando se cumpla la condición, se mostrará, elige VERDADERO.
   4. En Subredes de IP, elige IP privada.
   5. Selecciona Redes de VPC, identifica tu proyecto y selecciona tu nombre de VPC.
   6. En Subredes de IP, selecciona tu rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-2.

Crear nivel de acceso gce-subnet-3

1. En el selector de proyectos que se encuentra en la parte superior de la consola de Google Cloud , haz clic en la pestaña Todos y, luego, selecciona tu organización.
2. Crea un nivel de acceso básico siguiendo las instrucciones de la página Crea un nivel de acceso básico. Especifica las siguientes opciones:
   1. En Crear condiciones en, elige Modo básico.
   2. En el campo Título del nivel de acceso ingresa gce-subnet-3.
   3. En la sección Condiciones, para la opción Cuando se cumpla la condición, se mostrará, elige VERDADERO.
   4. En Subredes de IP, elige IP privada.
   5. Selecciona Redes de VPC, identifica tu proyecto y selecciona tu nombre de VPC.
   6. En Subredes de IP, selecciona tu rango de CIDR que representa la subred que el proyecto host compartió con ph-fm-svc-project-3.

Pasos de configuración de aiml-host-perimeter

Selecciona el tipo de configuración del nuevo perímetro.

En esta sección, crearás un perímetro de servicio de los Controles del servicio de VPC (aiml-host-perimeter) en el modo de ejecución de prueba. En el modo de ejecución de prueba, el perímetro registra las infracciones como si los perímetros fueran de aplicación forzosa, pero no impide el acceso a los servicios restringidos. Se recomienda usar el modo de ejecución de prueba antes de cambiar al modo obligatorio como práctica recomendada.

1. En el menú de navegación de la consola de Google Cloud , haz clic en Seguridad y, luego, en Controles del servicio de VPC.

   Ir a Seguridad

2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

4. Haz clic en Perímetro nuevo.

5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, aiml-host-perimeter.

   El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que deseas proteger

1. Haz clic en Recursos de protección.
2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
   1. Haz clic en Agregar recursos.
   2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar, en este caso, aiml-host-project.
      2. Haz clic en Agregar los recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, ya que solo se habilitan las APIs necesarias para Vertex AI. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

1. Haz clic en Servicios restringidos.
2. En el panel Servicios restringidos, haz clic en Agregar servicios.
3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
4. Haz clic en Agregar la API de Compute Engine.

Opcional: Selecciona los servicios accesibles de la VPC

El parámetro de configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, conservamos el parámetro de configuración predeterminado de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

1. Haz clic en Niveles de acceso.

2. Haz clic en el cuadro Selecciona el nivel de acceso.

   También puedes agregar niveles de acceso después de crear un perímetro.

3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

Se produce una comunicación bidireccional entre un proyecto host y un proyecto de servicio cuando se crean recursos de procesamiento en un proyecto de servicio determinado, ya que el proyecto host es propietario de la red de VPC que contiene la subred que se comparte con el proyecto de servicio. En esta sección, configurarás una regla de entrada que permita que los tres proyectos de servicio accedan a los recursos de procesamiento del proyecto host para estos flujos.

1. En el menú de la izquierda, haz clic en Política de entrada.
2. Haz clic en Agregar regla.
3. En el panel Regla de entrada, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Fuente: Proyectos (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Servicios seleccionados
      3. Servicios seleccionados: API de Compute Engine
      4. Métodos: Todos los métodos

Configura la política de salida

En esta sección, configurarás dos reglas de salida.

Primera regla de salida

Dado que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de salida para permitir que esa subred acceda al perímetro de ph-fm-svc-project-1 desde el perímetro del proyecto host. El nivel de acceso corporativo permite la comunicación bidireccional necesaria para la creación de instancias de procesamiento cuando un usuario final crea recursos de procesamiento en un proyecto de servicio con el nivel de acceso configurado.

1. En el menú de la izquierda, haga clic en Política de salida.
2. Haz clic en Agregar regla.
3. En el panel Regla de salida, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Selecciona Habilita las fuentes de salida de nivel de acceso.
      3. Niveles de acceso corp-public-block y gce-subnet-1.
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: ph-fm-svc-project-1
      3. Servicios: Todos los servicios

Segunda regla de salida

Dado que el proyecto host es propietario de las subredes compartidas con ph-fm-svc-project-2 y ph-fm-svc-project-3, se requiere una regla de salida para permitir que esas subredes accedan al perímetro de los proyectos de servicio desde el perímetro del proyecto host. El nivel de acceso corporativo habilita la comunicación bidireccional necesaria para la creación de instancias de procesamiento cuando un usuario final crea recursos de procesamiento en un proyecto de servicio con el nivel de acceso configurado.

1. En el menú de la izquierda, haga clic en Política de salida.
2. Haz clic en Agregar regla.
3. En el panel Regla de salida, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Selecciona Habilita las fuentes de salida de nivel de acceso.
      3. Niveles de acceso corp-public-block, gce-subnet-2 y gce-subnet-3.
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Servicios: Todos los servicios

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crear el perímetro.

Pasos de configuración de high-trust-svc-perimeter

Selecciona el tipo de configuración del nuevo perímetro.

1. En el menú de navegación de la consola de Google Cloud , haz clic en Seguridad y, luego, en Controles del servicio de VPC.

   Ir a Seguridad

2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

4. Haz clic en Perímetro nuevo.

5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, high-trust-svc-perimeter.

   El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que deseas proteger

1. Haz clic en Recursos de protección.
2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
   1. Haz clic en Agregar recursos.
   2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar, en este caso, ph-fm-svc-project-1.
      2. Haz clic en Agregar los recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, lo que permite solo las APIs necesarias para Gemini. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

1. Haz clic en Servicios restringidos.
2. En el panel Servicios restringidos, haz clic en Agregar servicios.
3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
4. Haz clic en Agregar la API de Compute Engine.
5. En el panel Servicios restringidos, haz clic en Agregar servicios.
6. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Vertex AI.
7. Haz clic en Agregar la API de Vertex AI.

Opcional: Selecciona los servicios accesibles de la VPC

El parámetro de configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, conservamos el parámetro de configuración predeterminado de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

1. Haz clic en Niveles de acceso.

2. Haz clic en el cuadro Selecciona el nivel de acceso.

   También puedes agregar niveles de acceso después de crear un perímetro.

3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

Dado que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de entrada para permitir que esa subred acceda al perímetro de ph-fm-svc-project-1 desde el proyecto host. Esto permite que las instancias de procesamiento de ph-fm-svc-project-1 accedan al servicio administrado dentro de ph-fm-svc-project-1.

1. En el menú de la izquierda, haz clic en Política de entrada.
2. Haz clic en Agregar regla.
3. En el panel Regla de entrada, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Fuente: Nivel de acceso
      3. Nivel de acceso: gce-subnet-1
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Todos los servicios

Configura la política de salida

Dado que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-1, se requiere una regla de salida para permitir la comunicación bidireccional que se produce entre el proyecto de servicio y su proyecto host cuando se crean recursos de procesamiento en el proyecto de servicio.

1. En el menú de la izquierda, haga clic en Política de salida.
2. Haz clic en Agregar regla.
3. En el panel Regla de salida, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: aiml-host-project
      3. Servicios: Servicios seleccionados
      4. Servicios seleccionados: API de Compute Engine
      5. Métodos: Todos los métodos

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crear el perímetro.

Pasos de configuración de low-trust-svc-perimeter

Selecciona el tipo de configuración del nuevo perímetro.

1. En el menú de navegación de la consola de Google Cloud , haz clic en Seguridad y, luego, en Controles del servicio de VPC.

   Ir a Seguridad

2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

3. En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.

4. Haz clic en Perímetro nuevo.

5. En la pestaña Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro, por ejemplo, low-trust-svc-perimeter.

   El nombre de un perímetro puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) y guiones bajos (_). El nombre del perímetro distingue mayúsculas de minúsculas y debe ser único dentro de una política de acceso.

6. Acepta la configuración predeterminada del perímetro.

Selecciona los recursos que deseas proteger

1. Haz clic en Recursos de protección.
2. Para agregar proyectos o redes de VPC que deseas proteger dentro del perímetro, haz lo siguiente:
   1. Haz clic en Agregar recursos.
   2. Para agregar proyectos al perímetro, en el panel Agregar recursos, haz clic en Agregar proyecto.
      1. Selecciona el proyecto que deseas agregar. Para esta arquitectura de referencia, elige lo siguiente:
         • ph-fm-svc-project-2
         • ph-fm-svc-project-3
      2. Haz clic en Agregar los recursos seleccionados. Los proyectos agregados aparecen en la sección Proyectos.

Selecciona los servicios restringidos

En esta arquitectura de referencia, el alcance de las APIs restringidas es limitado, lo que permite solo las APIs necesarias para Gemini. Sin embargo, como práctica recomendada, te recomendamos que restrinjas todos los servicios cuando crees un perímetro para mitigar el riesgo de robo de datos de los servicios de Google Cloud .

Para seleccionar los servicios que deseas proteger dentro del perímetro, haz lo siguiente:

1. Haz clic en Servicios restringidos.
2. En el panel Servicios restringidos, haz clic en Agregar servicios.
3. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Compute Engine.
4. Haz clic en Agregar la API de Compute Engine.
5. En el panel Servicios restringidos, haz clic en Agregar servicios.
6. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la API de Vertex AI.
7. Haz clic en Agregar la API de Vertex AI.

Opcional: Selecciona los servicios accesibles de la VPC

El parámetro de configuración de servicios accesibles de VPC limita el conjunto de servicios a los que se puede acceder desde extremos de red dentro del perímetro de servicio. En esta arquitectura de referencia, conservamos el parámetro de configuración predeterminado de Todos los servicios.

Opcional: Selecciona el nivel de acceso

Si creaste un nivel de acceso CIDR corporativo en una sección anterior, haz lo siguiente para permitir el acceso a recursos protegidos desde fuera del perímetro:

1. Haz clic en Niveles de acceso.

2. Haz clic en el cuadro Selecciona el nivel de acceso.

   También puedes agregar niveles de acceso después de crear un perímetro.

3. Selecciona la casilla de verificación correspondiente al nivel de acceso. (En esta arquitectura de referencia, es corp-public-block).

Configura la política de entrada

Dado que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-2 y ph-fm-svc-project-3, se requiere una regla de entrada para otorgar a esas subredes acceso al perímetro del proyecto de servicio desde el proyecto host. Esto permite que las instancias de procesamiento de estos proyectos de servicio accedan al servicio administrado dentro de ph-fm-svc-project-2 y ph-fm-svc-project-3.

1. En el menú de la izquierda, haz clic en Política de entrada.
2. Haz clic en Agregar regla.
3. En el panel Regla de entrada, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
      2. Fuente: Nivel de acceso
      3. Nivel de acceso: gce-subnet-2, gce-subnet-3
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Todos los proyectos
      2. Servicios: Todos los servicios

Configura la política de salida

Dado que el proyecto host es propietario de la subred compartida con ph-fm-svc-project-２ y ph-fm-svc-project-3, se requiere una regla de salida para permitir la comunicación bidireccional que se produce entre los proyectos de servicio y su proyecto host cuando se crean recursos de procesamiento en los proyectos de servicio.

1. En el menú de la izquierda, haga clic en Política de salida.
2. Haz clic en Agregar regla.
3. En el panel Regla de salida, haz lo siguiente:
   1. Para los atributos FROM, selecciona los siguientes atributos FROM del cliente de la API:
      1. Identidad: Cualquier identidad
   2. Para los atributos TO, selecciona los siguientes atributos TO de los servicios y recursos de Google Cloud:
      1. Proyecto: Proyectos seleccionados
      2. Agregar proyecto: aiml-host-project
      3. Servicios: Servicios seleccionados
      4. Servicios seleccionados: API de Compute Engine
      5. Métodos: Todos los métodos

Crea el perímetro

Una vez que hayas completado los pasos de configuración anteriores, haz clic en Crear perímetro para crear el perímetro.

Configura la red

Usa un extremo de Private Service Connect para acceder a las APIs de Google

Private Service Connect para acceder a las APIs de Google es una alternativa al uso del acceso privado a Google o los nombres de dominio público para las APIs de Google. En este caso, el productor es Google.

El uso de Private Service Connect te permite hacer lo siguiente:

• Crear una o más direcciones IP internas para acceder a las APIs de Google en diferentes casos de uso
• Dirige tu tráfico local a direcciones IP y regiones específicas cuando accedas a las APIs de Google.
• Crea un nombre de DNS de extremo personalizado para resolver las APIs de Google.

En la arquitectura de referencia, se implementa un extremo de la API de Google de Private Service Connect llamado restricted con la dirección IP 192.168.10.2 con los Controles del servicio de VPC de destino, que se usa como una IP virtual (VIP) para acceder a los servicios restringidos configurados en el perímetro de los Controles del servicio de VPC. El extremo de Private Service Connect se implementa en el proyecto host, aiml-host-project.

Accede a Gemini Pro desde instancias de Compute Engine

Cuando creas un extremo de Private Service Connect, el Directorio de servicios crea registros DNS en una zona privada de p.googleapis.com. Los registros apuntan a la dirección IP del extremo y usan el formato SERVICE-ENDPOINT.p.googleapis.com, que equivale al nombre de dominio completamente calificado que se usa para acceder a la API de Vertex AI: LOCATION-aiplatform-restricted.p.googleapis.com.

Valida la configuración de la red

En las instancias de Compute Engine implementadas en los proyectos de servicio, se usa el siguiente procedimiento para actualizar la API de Vertex AI de modo que use el nombre de dominio completamente calificado personalizado y realice la validación.

1. Inicializa las variables de entorno de Python de la siguiente manera:

   PROJECT_ID="ph-fm-svc-project-1"
   LOCATION_ID="us-central1"
   API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
   MODEL_ID="gemini-2.0-flash-exp"
   GENERATE_CONTENT_API="streamGenerateContent"
   

2. Con un editor de texto, crea un archivo request.json que contenga el siguiente código JSON:

   {
     "contents": [
       {
         "role": "user",
         "parts": [
           {
             "text": "what weight more 1kg feathers vs 1kg stones"
           }
         ]
       }
     ],
     "generationConfig": {
       "temperature": 1,
       "maxOutputTokens": 8192,
       "topP": 0.95,
       "seed": 0
     },
     "safetySettings": [
       {
         "category": "HARM_CATEGORY_HATE_SPEECH",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_HARASSMENT",
         "threshold": "OFF"
       }
     ]
   }
   

3. Realiza la siguiente solicitud de cURL a la API de Gemini de Vertex AI:

   curl \
   -X POST \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
   

Valida tu perímetro en modo de ejecución de prueba

En esta arquitectura de referencia, el perímetro de servicio se configura en modo de ejecución de prueba, lo que te permite probar el efecto de la política de acceso sin aplicarla. Esto significa que puedes ver cómo tus políticas afectarían tu entorno si estuvieran activas, pero sin el riesgo de interrumpir el tráfico legítimo.

Para obtener información sobre cómo validar tu perímetro en el modo de ejecución de prueba, mira el video de YouTube sobre el registro de ejecución de prueba de los Controles del servicio de VPC.

Después de validar tu perímetro en el modo de ejecución de prueba, cámbialo al modo aplicado.