Autoriser l'accès aux ressources protégées depuis un point de terminaison privé dans un périmètre VPC Service Controls

Dans les architectures de VPC partagé, le réseau du projet hôte est partagé avec le projet de service. Jusqu'à récemment, cela empêchait de séparer ces projets en différents périmètres. Avec l'introduction de règles d'entrée et de sortie basées sur des adresses IP privées, les projets hôtes et de service peuvent désormais résider dans des périmètres distincts tout en conservant un accès contrôlé via ces règles.

Architecture de référence

Les attributs suivants sont utilisés dans la stratégie de service:

  • Périmètres VPC Service Controls
  • Adresses IP privées d'Access Context Manager
  • Règles d'entrée et de sortie

Dans le composant de mise en réseau, cette architecture utilise un point de terminaison Private Service Connect pour accéder aux API Google.

Schéma architectural de l'utilisation de VPC Service Controls pour créer un périmètre de service.

Dans cette architecture de référence, des règles d'entrée et de sortie ainsi que des adresses IP privées sont utilisées pour contrôler l'accès entre les instances Compute Engine et l'API Vertex AI pour les périmètres de service et les projets suivants:

Périmètre Projets situés dans le périmètre
aiml-host-perimeter aiml-host-project
high-trust-svc-perimeter ph-fm-svc-project-1
low-trust-svc-perimeter ph-fm-svc-project-2, ph-fm-svc-project-3

L'accès à l'API Vertex AI à partir des instances Compute Engine de chaque projet de service est contrôlé par les règles d'entrée et de sortie de VPC Service Controls. Ces règles utilisent des niveaux d'accès Access Context Manager configurés avec des adresses IP privées pour autoriser les sous-réseaux partagés avec chaque projet de service à accéder à leurs périmètres respectifs.

Facultatif: Créer un niveau d'accès pour le trafic public de l'organisation

Si vos utilisateurs finaux ont besoin d'accéder à Vertex AI via la console Google Cloud, suivez les instructions de cette section pour créer un niveau d'accès à utiliser dans VPC Service Controls. Toutefois, si l'accès aux API est strictement programmatique à partir de sources privées (par exemple, sur site avec l'accès privé à Google pour les environnements sur site ou les stations de travail Cloud), le niveau d'accès n'est pas requis.

Dans cette architecture de référence, nous utilisons une plage CIDR, corp-public-block, pour autoriser le trafic des employés de l'organisation à accéder à la console Google Cloud.

Access Context Manager permet aux Google Cloud administrateurs d'organisation de définir un contrôle d'accès précis et basé sur des attributs pour les ressources dans Google Cloud.

Les niveaux d'accès décrivent les conditions requises pour que les requêtes soient honorées. Voici quelques exemples :

  • Type d'appareil et système d'exploitation (nécessite une licence Chrome Enterprise Premium)
  • Adresse IP
  • Géolocalisations
  • Identité des utilisateurs

Si l'organisation utilise Access Context Manager pour la première fois, ses administrateurs doivent définir une stratégie d'accès, qui est un conteneur pour les niveaux d'accès et les périmètres de service. Pour ce faire, procédez comme suit:

  1. Dans le sélecteur de projet en haut de la console Google Cloud, cliquez sur l'onglet Tous, puis sélectionnez votre organisation.
  2. Créez un niveau d'accès de base en suivant les instructions de la page Créer un niveau d'accès de base. Spécifiez les options suivantes :
    1. Sous Créer des conditions en, sélectionnez Mode de base.
    2. Dans le champ Titre du niveau d'accès, saisissez corp-public-block.
    3. Dans la section Conditions, pour l'option When condition is met, return (Lorsque la condition est remplie, afficher), sélectionnez TRUE.
    4. Sous Sous-réseaux IP, sélectionnez Adresse IP publique.
    5. Pour la plage d'adresses IP, spécifiez la plage CIDR externe qui nécessite un accès au périmètre VPC Service Controls.

Créer le périmètre de service VPC Service Controls

Lorsque vous créez un périmètre de service, vous pouvez autoriser l'accès aux services protégés en dehors du périmètre en créant des niveaux d'accès (à l'aide d'adresses IP, dans notre exemple). Dans cette architecture de référence, plusieurs périmètres de services sont créés qui utilisent des règles d'entrée et de sortie pour contrôler l'accès à la communication de l'API Vertex AI et de l'API Compute Engine comme suit:

  • Le sous-réseau des ressources de calcul appartenant au projet de service ph-fm-svc-project-1 est autorisé à accéder à l'API Vertex AI et à l'API Compute Engine dans ph-fm-svc-project-1 à partir de aiml-host-project.
  • Le sous-réseau des ressources de calcul appartenant aux projets de service ph-fm-svc-project-2 et ph-fm-svc-project-3 est autorisé à accéder à l'API Vertex AI et à l'API Compute Engine dans les projets ph-fm-svc-project-2 et ph-fm-svc-project-3 à partir de aiml-host-project.

Chaque projet de service est autorisé à accéder à l'API Compute Engine dans le projet hôte (car des flux bidirectionnels se produisent entre le projet hôte et les projets de service lorsque des ressources de calcul sont créées dans un projet de service donné).

Dans cette architecture de référence, un niveau d'accès est créé pour chaque sous-réseau afin d'utiliser des règles d'entrée et de sortie pour autoriser les flux requis entre le périmètre du projet hôte et chaque périmètre du projet de service.

Créer un niveau d'accès gce-subnet-1

  1. Dans le sélecteur de projet en haut de la console Google Cloud, cliquez sur l'onglet Tous, puis sélectionnez votre organisation.
  2. Créez un niveau d'accès de base en suivant les instructions de la page Créer un niveau d'accès de base. Spécifiez les options suivantes :
    1. Sous Créer des conditions en, sélectionnez Mode de base.
    2. Dans le champ Titre du niveau d'accès, saisissez gce-subnet-1.
    3. Dans la section Conditions, pour l'option When condition is met, return (Lorsque la condition est remplie, afficher), sélectionnez TRUE.
    4. Sous Sous-réseaux IP, sélectionnez Adresse IP privée.
    5. Sélectionnez Réseaux VPC, identifiez votre projet, puis sélectionnez votre nom de VPC.
    6. Pour les sous-réseaux IP, sélectionnez votre plage CIDR représentant le sous-réseau que le projet hôte a partagé avec ph-fm-svc-project-1.

Créer un niveau d'accès gce-subnet-2

  1. Dans le sélecteur de projet en haut de la console Google Cloud, cliquez sur l'onglet Tous, puis sélectionnez votre organisation.
  2. Créez un niveau d'accès de base en suivant les instructions de la page Créer un niveau d'accès de base. Spécifiez les options suivantes :
    1. Sous Créer des conditions en, sélectionnez Mode de base.
    2. Dans le champ Titre du niveau d'accès, saisissez gce-subnet-2.
    3. Dans la section Conditions, pour l'option When condition is met, return (Lorsque la condition est remplie, afficher), sélectionnez TRUE.
    4. Sous Sous-réseaux IP, sélectionnez Adresse IP privée.
    5. Sélectionnez Réseaux VPC, identifiez votre projet, puis sélectionnez votre nom de VPC.
    6. Pour les sous-réseaux IP, sélectionnez votre plage CIDR représentant le sous-réseau que le projet hôte a partagé avec ph-fm-svc-project-2.

Créer un niveau d'accès gce-subnet-3

  1. Dans le sélecteur de projet en haut de la console Google Cloud, cliquez sur l'onglet Tous, puis sélectionnez votre organisation.
  2. Créez un niveau d'accès de base en suivant les instructions de la page Créer un niveau d'accès de base. Spécifiez les options suivantes :
    1. Sous Créer des conditions en, sélectionnez Mode de base.
    2. Dans le champ Titre du niveau d'accès, saisissez gce-subnet-3.
    3. Dans la section Conditions, pour l'option When condition is met, return (Lorsque la condition est remplie, afficher), sélectionnez TRUE.
    4. Sous Sous-réseaux IP, sélectionnez Adresse IP privée.
    5. Sélectionnez Réseaux VPC, identifiez votre projet, puis sélectionnez votre nom de VPC.
    6. Pour les sous-réseaux IP, sélectionnez votre plage CIDR représentant le sous-réseau que le projet hôte a partagé avec ph-fm-svc-project-3.

Étapes de configuration pour aiml-host-perimeter

Sélectionnez le type de configuration du nouveau périmètre.

Dans cette section, vous allez créer un périmètre de service VPC Service Controls (aiml-host-perimeter) en mode simulation. En mode simulation, le périmètre consigne les violations comme si les périmètres étaient appliqués, mais n'empêche pas l'accès aux services restreints. Il est recommandé d'utiliser le mode simulation avant de passer au mode forcé.

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page Sécurité.

  2. Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Sur la page VPC Service Controls, cliquez sur Mode simulation.

  4. Cliquez sur Nouveau périmètre.

  5. Dans l'onglet Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre, par exemple aiml-host-perimeter.

    Un nom de périmètre peut comporter au maximum 50 caractères, commencer par une lettre et ne contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) et des traits de soulignement (_). Le nom du périmètre est sensible à la casse et doit être unique dans une règle d'accès.

  6. Acceptez les paramètres par défaut pour le périmètre.

Sélectionner les ressources à protéger

  1. Cliquez sur Ressources à protéger.
  2. Pour ajouter des projets ou des réseaux VPC que vous souhaitez sécuriser au sein du périmètre, procédez comme suit :
    1. Cliquez sur Ajouter des ressources.
    2. Pour ajouter des projets au périmètre, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet.
      1. Sélectionnez le projet que vous souhaitez ajouter, dans ce cas aiml-host-project.
      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

Sélectionner les services restreints

Dans cette architecture de référence, le champ d'application des API limitées est limité, n'autorisant que les API nécessaires à Vertex AI. Toutefois, nous vous recommandons de limiter tous les services lorsque vous créez un périmètre pour limiter le risque d'exfiltration de données des services Google Cloud .

Pour sélectionner les services à sécuriser dans le périmètre, procédez comme suit:

  1. Cliquez sur Services restreints.
  2. Dans le volet Services restreints, cliquez sur Ajouter des services.
  3. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Compute Engine.
  4. Cliquez sur Ajouter l'API Compute Engine.

Facultatif: Sélectionner les services accessibles par VPC

Le paramètre Services accessibles par VPC limite l'ensemble de services accessibles à partir de points de terminaison du réseau dans votre périmètre de service. Dans cette architecture de référence, nous conservons le paramètre par défaut Tous les services.

Facultatif: Sélectionnez le niveau d'accès

Si vous avez créé un niveau d'accès CIDR d'entreprise dans une section précédente, procédez comme suit pour autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre:

  1. Cliquez sur Niveaux d'accès.

  2. Cochez la case Sélectionnez le niveau d'accès.

    Vous pouvez également ajouter des niveaux d'accès après la création d'un périmètre.

  3. Cochez la case correspondant au niveau d'accès. (Dans cette architecture de référence, il s'agit de corp-public-block.)

Configurer la règle d'entrée

Une communication bidirectionnelle s'effectue entre un projet hôte et un projet de service lorsque des ressources de calcul sont créées dans un projet de service donné, car le projet hôte est propriétaire du réseau VPC contenant le sous-réseau partagé avec le projet de service. Dans cette section, vous allez configurer une règle d'entrée qui autorise les trois projets de service à accéder aux ressources de calcul du projet hôte pour ces flux.

  1. Dans le menu de gauche, cliquez sur Règle d'entrée.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle d'entrée, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
      2. Source: projets (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Projet: tous les projets
      2. Services: services sélectionnés
      3. Services sélectionnés: API Compute Engine
      4. Méthodes: toutes les méthodes

Configurer la règle de sortie

Dans cette section, vous allez configurer deux règles de sortie.

Première règle de sortie

Étant donné que le projet hôte est propriétaire du sous-réseau partagé avec ph-fm-svc-project-1, une règle de sortie est requise pour autoriser ce sous-réseau à accéder au périmètre de ph-fm-svc-project-1 à partir du périmètre du projet hôte. Le niveau d'accès de l'entreprise permet la communication bidirectionnelle requise pour la création d'instances de calcul lorsqu'un utilisateur final crée des ressources de calcul dans un projet de service à l'aide du niveau d'accès configuré.

  1. Dans le menu de gauche, cliquez sur Règle de sortie.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle de sortie, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
      2. Sélectionnez Activer les sources de sortie du niveau d'accès.
      3. Niveaux d'accès corp-public-block et gce-subnet-1.
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Project (Projet) : projets sélectionnés
      2. Ajouter un projet: ph-fm-svc-project-1
      3. Services: tous les services

Deuxième règle de sortie

Étant donné que le projet hôte est propriétaire des sous-réseaux partagés avec ph-fm-svc-project-2 et ph-fm-svc-project-3, une règle de sortie est requise pour autoriser ces sous-réseaux à accéder au périmètre des projets de service à partir du périmètre du projet hôte. Le niveau d'accès de l'entreprise permet la communication bidirectionnelle requise pour la création d'instances de calcul lorsqu'un utilisateur final crée des ressources de calcul dans un projet de service à l'aide du niveau d'accès configuré.

  1. Dans le menu de gauche, cliquez sur Règle de sortie.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle de sortie, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
      2. Sélectionnez Activer les sources de sortie du niveau d'accès.
      3. Niveaux d'accès : corp-public-block, gce-subnet-2 et gce-subnet-3.
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Project (Projet) : projets sélectionnés
      2. Ajouter un projet: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Services: tous les services

Créer le périmètre

Une fois les étapes de configuration précédentes terminées, créez le périmètre en cliquant sur Créer un périmètre.

Étapes de configuration pour high-trust-svc-perimeter

Sélectionnez le type de configuration du nouveau périmètre.

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page Sécurité.

  2. Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Sur la page VPC Service Controls, cliquez sur Mode simulation.

  4. Cliquez sur Nouveau périmètre.

  5. Dans l'onglet Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre, par exemple high-trust-svc-perimeter.

    Un nom de périmètre peut comporter au maximum 50 caractères, commencer par une lettre et ne contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) et des traits de soulignement (_). Le nom du périmètre est sensible à la casse et doit être unique dans une règle d'accès.

  6. Acceptez les paramètres par défaut pour le périmètre.

Sélectionner les ressources à protéger

  1. Cliquez sur Ressources à protéger.
  2. Pour ajouter des projets ou des réseaux VPC que vous souhaitez sécuriser au sein du périmètre, procédez comme suit :
    1. Cliquez sur Ajouter des ressources.
    2. Pour ajouter des projets au périmètre, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet.
      1. Sélectionnez le projet que vous souhaitez ajouter, dans ce cas ph-fm-svc-project-1.
      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

Sélectionner les services restreints

Dans cette architecture de référence, le champ d'application des API limitées est limité, et seules les API nécessaires à Gemini sont activées. Toutefois, nous vous recommandons de limiter tous les services lorsque vous créez un périmètre pour limiter le risque d'exfiltration de données des services Google Cloud .

Pour sélectionner les services à sécuriser dans le périmètre, procédez comme suit:

  1. Cliquez sur Services restreints.
  2. Dans le volet Services restreints, cliquez sur Ajouter des services.
  3. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Compute Engine.
  4. Cliquez sur Ajouter l'API Compute Engine.
  5. Dans le volet Services restreints, cliquez sur Ajouter des services.
  6. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Vertex AI.
  7. Cliquez sur Ajouter l'API Vertex AI.

Facultatif: Sélectionner les services accessibles par VPC

Le paramètre Services accessibles par VPC limite l'ensemble de services accessibles à partir de points de terminaison du réseau dans votre périmètre de service. Dans cette architecture de référence, nous conservons le paramètre par défaut Tous les services.

Facultatif: Sélectionnez le niveau d'accès

Si vous avez créé un niveau d'accès CIDR d'entreprise dans une section précédente, procédez comme suit pour autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre:

  1. Cliquez sur Niveaux d'accès.

  2. Cochez la case Sélectionnez le niveau d'accès.

    Vous pouvez également ajouter des niveaux d'accès après la création d'un périmètre.

  3. Cochez la case correspondant au niveau d'accès. (Dans cette architecture de référence, il s'agit de corp-public-block.)

Configurer la règle d'entrée

Étant donné que le projet hôte est propriétaire du sous-réseau partagé avec ph-fm-svc-project-1, une règle d'entrée est requise pour autoriser ce sous-réseau à accéder au périmètre de ph-fm-svc-project-1 à partir du projet hôte. Cela permet aux instances de calcul de ph-fm-svc-project-1 d'accéder au service géré dans ph-fm-svc-project-1.

  1. Dans le menu de gauche, cliquez sur Règle d'entrée.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle d'entrée, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
      2. Source: niveau d'accès
      3. Niveau d'accès: gce-subnet-1
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Projet: tous les projets
      2. Services: tous les services

Configurer la règle de sortie

Étant donné que le projet hôte est propriétaire du sous-réseau partagé avec ph-fm-svc-project-1, une règle de sortie est requise pour autoriser la communication bidirectionnelle qui se produit entre le projet de service et son projet hôte lorsque des ressources de calcul sont créées dans le projet de service.

  1. Dans le menu de gauche, cliquez sur Règle de sortie.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle de sortie, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Project (Projet) : projets sélectionnés
      2. Ajouter un projet: aiml-host-project
      3. Services: services sélectionnés
      4. Services sélectionnés: API Compute Engine
      5. Méthodes: toutes les méthodes

Créer le périmètre

Une fois les étapes de configuration précédentes terminées, créez le périmètre en cliquant sur Créer un périmètre.

Étapes de configuration pour low-trust-svc-perimeter

Sélectionnez le type de configuration du nouveau périmètre.

  1. Dans le menu de navigation de la console Google Cloud, cliquez sur Sécurité, puis sur VPC Service Controls.

    Accéder à la page Sécurité.

  2. Si vous y êtes invité, sélectionnez votre organisation, votre dossier ou votre projet.

  3. Sur la page VPC Service Controls, cliquez sur Mode simulation.

  4. Cliquez sur Nouveau périmètre.

  5. Dans l'onglet Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre, par exemple low-trust-svc-perimeter.

    Un nom de périmètre peut comporter au maximum 50 caractères, commencer par une lettre et ne contenir que des lettres de l'alphabet latin ASCII (a-z, A-Z), des chiffres (0-9) et des traits de soulignement (_). Le nom du périmètre est sensible à la casse et doit être unique dans une règle d'accès.

  6. Acceptez les paramètres par défaut pour le périmètre.

Sélectionner les ressources à protéger

  1. Cliquez sur Ressources à protéger.
  2. Pour ajouter des projets ou des réseaux VPC que vous souhaitez sécuriser au sein du périmètre, procédez comme suit :
    1. Cliquez sur Ajouter des ressources.
    2. Pour ajouter des projets au périmètre, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet.
      1. Sélectionnez le projet que vous souhaitez ajouter. Pour cette architecture de référence, choisissez les éléments suivants :
        • ph-fm-svc-project-2
        • ph-fm-svc-project-3
      2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

Sélectionner les services restreints

Dans cette architecture de référence, le champ d'application des API limitées est limité, et seules les API nécessaires à Gemini sont activées. Toutefois, nous vous recommandons de limiter tous les services lorsque vous créez un périmètre pour limiter le risque d'exfiltration de données des services Google Cloud .

Pour sélectionner les services à sécuriser dans le périmètre, procédez comme suit:

  1. Cliquez sur Services restreints.
  2. Dans le volet Services restreints, cliquez sur Ajouter des services.
  3. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Compute Engine.
  4. Cliquez sur Ajouter l'API Compute Engine.
  5. Dans le volet Services restreints, cliquez sur Ajouter des services.
  6. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez l'API Vertex AI.
  7. Cliquez sur Ajouter l'API Vertex AI.

Facultatif: Sélectionner les services accessibles par VPC

Le paramètre Services accessibles par VPC limite l'ensemble de services accessibles à partir de points de terminaison du réseau dans votre périmètre de service. Dans cette architecture de référence, nous conservons le paramètre par défaut Tous les services.

Facultatif: Sélectionnez le niveau d'accès

Si vous avez créé un niveau d'accès CIDR d'entreprise dans une section précédente, procédez comme suit pour autoriser l'accès aux ressources protégées depuis l'extérieur du périmètre:

  1. Cliquez sur Niveaux d'accès.

  2. Cochez la case Sélectionnez le niveau d'accès.

    Vous pouvez également ajouter des niveaux d'accès après la création d'un périmètre.

  3. Cochez la case correspondant au niveau d'accès. (Dans cette architecture de référence, il s'agit de corp-public-block.)

Configurer la règle d'entrée

Étant donné que le projet hôte est propriétaire du sous-réseau partagé avec ph-fm-svc-project-2 et ph-fm-svc-project-3, une règle d'entrée est requise pour accorder à ces sous-réseaux l'accès au périmètre du projet de service à partir du projet hôte. Cela permet aux instances de calcul de ces projets de service d'accéder au service géré dans ph-fm-svc-project-2 et ph-fm-svc-project-3.

  1. Dans le menu de gauche, cliquez sur Règle d'entrée.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle d'entrée, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
      2. Source: niveau d'accès
      3. Niveau d'accès: gce-subnet-2, gce-subnet-3
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Projet: tous les projets
      2. Services: tous les services

Configurer la règle de sortie

Étant donné que le projet hôte est propriétaire du sous-réseau partagé avec ph-fm-svc-project-2 et ph-fm-svc-project-3, une règle de sortie est requise pour autoriser la communication bidirectionnelle qui se produit entre les projets de service et leur projet hôte lorsque des ressources de calcul sont créées dans les projets de service.

  1. Dans le menu de gauche, cliquez sur Règle de sortie.
  2. Cliquez sur Ajouter une règle.
  3. Dans le volet Règle de sortie, procédez comme suit :
    1. Pour Attributs "FROM", sélectionnez les attributs "FROM" suivants du client API :
      1. Identité: toute identité
    2. Pour les attributs "TO", sélectionnez les attributs "TO" suivants des Google Cloudservices et ressources :
      1. Project (Projet) : projets sélectionnés
      2. Ajouter un projet: aiml-host-project
      3. Services: services sélectionnés
      4. Services sélectionnés: API Compute Engine
      5. Méthodes: toutes les méthodes

Créer le périmètre

Une fois les étapes de configuration précédentes terminées, créez le périmètre en cliquant sur Créer un périmètre.

Configurer le réseau

Utiliser un point de terminaison Private Service Connect pour accéder aux API Google

L'accès aux API Google à l'aide de Private Service Connect est une alternative à l'utilisation de l'accès privé à Google ou des noms de domaine publics pour les API Google. Dans ce cas, le producteur est Google.

L'utilisation de Private Service Connect vous permet d'effectuer les opérations suivantes :

  • Créer une ou plusieurs adresses IP internes pour accéder aux API Google pour différents cas d'utilisation.
  • Dirigez votre trafic sur site vers des adresses IP et des régions spécifiques lorsque vous accédez aux API Google.
  • Créez un nom DNS de point de terminaison personnalisé à utiliser pour résoudre les API Google.

Dans l'architecture de référence, un point de terminaison d'API Google Private Service Connect nommé restricted avec l'adresse IP 192.168.10.2 est déployé avec les VPC Service Controls cibles, utilisés comme adresse IP virtuelle (VIP) pour accéder aux services restreints configurés dans le périmètre VPC Service Controls. Le point de terminaison Private Service Connect est déployé dans le projet hôte, aiml-host-project.

Accéder à Gemini Pro depuis des instances Compute Engine

Lorsque vous créez un point de terminaison Private Service Connect, l'annuaire des services crée des enregistrements DNS dans une zone privée p.googleapis.com. Les enregistrements pointent vers l'adresse IP du point de terminaison et utilisent le format SERVICE-ENDPOINT.p.googleapis.com, qui correspond au nom de domaine complet utilisé pour accéder à l'API Vertex AI : LOCATION-aiplatform-restricted.p.googleapis.com.

Valider la configuration réseau

À partir des instances Compute Engine déployées dans les projets de service, la procédure suivante permet de mettre à jour l'API Vertex AI pour qu'elle utilise le nom de domaine complet personnalisé et effectue la validation.

  1. Initialisez vos variables d'environnement Python comme suit:

    PROJECT_ID="ph-fm-svc-project-1"
LOCATION_ID="us-central1"
API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
MODEL_ID="gemini-2.0-flash-exp"
GENERATE_CONTENT_API="streamGenerateContent"

  2. À l'aide d'un éditeur de texte, créez un fichier request.json contenant le code JSON suivant:

    {
  "contents": [
    {
      "role": "user",
      "parts": [
        {
          "text": "what weight more 1kg feathers vs 1kg stones"
        }
      ]
    }
  ],
  "generationConfig": {
    "temperature": 1,
    "maxOutputTokens": 8192,
    "topP": 0.95,
    "seed": 0
  },
  "safetySettings": [
    {
      "category": "HARM_CATEGORY_HATE_SPEECH",
      "threshold": "OFF"
    },
    {
      "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
      "threshold": "OFF"
    },
    {
      "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
      "threshold": "OFF"
    },
    {
      "category": "HARM_CATEGORY_HARASSMENT",
      "threshold": "OFF"
    }
  ]
}

  3. Envoyez la requête cURL suivante à l'API Vertex AI Gemini:

    curl \
-X POST \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'

Valider votre périmètre en mode simulation

Dans cette architecture de référence, le périmètre de service est configuré en mode simulation, ce qui vous permet de tester l'effet de la stratégie d'accès sans l'appliquer. Vous pouvez ainsi voir l'impact de vos règles sur votre environnement si elles étaient actives, sans risque de perturber le trafic légitime.

Pour savoir comment valider votre périmètre en mode simulation, regardez la vidéo YouTube Journalisation de la simulation VPC Service Controls.

Après avoir validé votre périmètre en mode simulation, passez au mode application forcée.