Mengizinkan akses ke resource yang dilindungi dari endpoint pribadi di dalam perimeter Kontrol Layanan VPC

Dalam arsitektur VPC Bersama, jaringan project host dibagikan dengan project layanan. Hingga baru-baru ini, hal ini mencegah pemisahan project ini ke dalam perimeter yang berbeda. Dengan diperkenalkannya aturan masuk dan keluar berbasis alamat IP pribadi, project host dan layanan kini dapat berada di perimeter terpisah sekaligus mempertahankan akses terkontrol melalui aturan ini.

Arsitektur referensi

Atribut berikut digunakan dalam kebijakan layanan:

  • Perimeter Kontrol Layanan VPC
  • Alamat IP pribadi Access Context Manager
  • Aturan masuk dan keluar

Dalam komponen jaringan, arsitektur ini menggunakan endpoint Private Service Connect untuk mengakses Google API.

Diagram arsitektur penggunaan Kontrol Layanan VPC untuk membuat perimeter layanan.

Dalam arsitektur referensi ini, aturan masuk dan keluar serta alamat IP pribadi digunakan untuk mengontrol akses antara instance Compute Engine dan Vertex AI API untuk perimeter dan project layanan berikut:

Perimeter Project di dalam perimeter
aiml-host-perimeter aiml-host-project
high-trust-svc-perimeter ph-fm-svc-project-1
low-trust-svc-perimeter ph-fm-svc-project-2, ph-fm-svc-project-3

Akses ke Vertex AI API dari setiap instance Compute Engine milik project layanan dikontrol oleh aturan masuk dan keluar Kontrol Layanan VPC. Aturan ini menggunakan tingkat akses Access Context Manager yang dikonfigurasi dengan alamat IP pribadi untuk mengizinkan subnet yang dibagikan dengan setiap project layanan mengakses perimeternya masing-masing.

Opsional: Membuat tingkat akses untuk traffic publik organisasi

Jika pengguna akhir Anda memerlukan akses ke Vertex AI melalui konsolGoogle Cloud , ikuti petunjuk di bagian ini untuk membuat tingkat akses yang akan digunakan di Kontrol Layanan VPC. Namun, jika akses ke API bersifat terprogram sepenuhnya dari sumber pribadi (seperti di lokal dengan Akses Google Pribadi untuk lokal atau Cloud Workstation), tingkat akses tidak diperlukan.

Dalam arsitektur referensi ini, kami menggunakan rentang CIDR, corp-public-block, untuk mengizinkan traffic karyawan organisasi mengakses konsolGoogle Cloud .

Access Context Manager memungkinkan administrator organisasi Google Cloud menentukan kontrol akses berbasis atribut yang terperinci untuk resource di Google Cloud.

Tingkat akses menjelaskan persyaratan agar permintaan disetujui. Beberapa contoh di antaranya:

  • Jenis perangkat dan sistem operasi (memerlukan lisensi Chrome Enterprise Premium)
  • Alamat IP
  • Lokasi Geografis
  • Identitas pengguna

Jika ini adalah pertama kalinya organisasi menggunakan Access Context Manager, administratornya harus menentukan kebijakan akses, yang merupakan penampung untuk tingkat akses dan perimeter layanan. Hal ini dilakukan sebagai berikut:

  1. Di pemilih project di bagian atas konsol Google Cloud , klik tab Semua, lalu pilih organisasi Anda.
  2. Buat tingkat akses dasar dengan mengikuti petunjuk di halaman Membuat tingkat akses dasar. Tentukan opsi berikut:
    1. Di bagian Create conditions in, pilih Basic mode.
    2. Di kolom Access level title, masukkan corp-public-block.
    3. Di bagian Kondisi, untuk opsi Jika kondisi terpenuhi, tampilkan, pilih BENAR.
    4. Di bagian Subnetwork IP, pilih IP Publik.
    5. Untuk rentang alamat IP, tentukan rentang CIDR eksternal yang memerlukan akses ke perimeter Kontrol Layanan VPC.

Membuat perimeter layanan Kontrol Layanan VPC

Saat membuat perimeter layanan, satu cara untuk mengizinkan akses ke layanan yang dilindungi dari luar perimeter adalah dengan membuat level akses (menggunakan alamat IP, dalam contoh kami). Dalam arsitektur referensi ini, beberapa perimeter layanan dibuat yang menggunakan aturan masuk dan keluar untuk mengontrol akses ke komunikasi Vertex AI API dan Compute Engine API sebagai berikut:

  • Subnet untuk resource komputasi milik project layanan ph-fm-svc-project-1 diizinkan akses ke Vertex AI API dan Compute Engine API di ph-fm-svc-project-1 dari aiml-host-project.
  • Subnet untuk resource komputasi milik project layanan ph-fm-svc-project-2 dan ph-fm-svc-project-3 diizinkan untuk mengakses Vertex AI API dan Compute Engine API di project ph-fm-svc-project-2 dan project ph-fm-svc-project-3 dari aiml-host-project.

Setiap project layanan diizinkan untuk mengakses Compute Engine API di project host (karena alur dua arah terjadi antara project host dan project layanan saat resource komputasi dibuat di project layanan tertentu).

Dalam arsitektur referensi ini, tingkat akses untuk setiap subnet dibuat untuk menggunakan aturan masuk dan keluar guna mengizinkan alur yang diperlukan antara perimeter project host dan setiap perimeter project layanan.

Membuat tingkat akses gce-subnet-1

  1. Di pemilih project di bagian atas konsol Google Cloud , klik tab Semua, lalu pilih organisasi Anda.
  2. Buat tingkat akses dasar dengan mengikuti petunjuk di halaman Membuat tingkat akses dasar. Tentukan opsi berikut:
    1. Di bagian Create conditions in, pilih Basic mode.
    2. Di kolom Access level title, masukkan gce-subnet-1.
    3. Di bagian Kondisi, untuk opsi Jika kondisi terpenuhi, tampilkan, pilih BENAR.
    4. Di bagian Subnetwork IP, pilih IP Pribadi.
    5. Pilih VPC Networks, identifikasi project, lalu pilih VPC name.
    6. Untuk Subnetwork IP, pilih rentang CIDR yang mewakili subnet yang dibagikan project host dengan ph-fm-svc-project-1.

Membuat tingkat akses gce-subnet-2

  1. Di pemilih project di bagian atas konsol Google Cloud , klik tab Semua, lalu pilih organisasi Anda.
  2. Buat tingkat akses dasar dengan mengikuti petunjuk di halaman Membuat tingkat akses dasar. Tentukan opsi berikut:
    1. Di bagian Create conditions in, pilih Basic mode.
    2. Di kolom Access level title, masukkan gce-subnet-2.
    3. Di bagian Kondisi, untuk opsi Jika kondisi terpenuhi, tampilkan, pilih BENAR.
    4. Di bagian Subnetwork IP, pilih IP Pribadi.
    5. Pilih VPC Networks, identifikasi project, lalu pilih VPC name.
    6. Untuk Subnetwork IP, pilih rentang CIDR yang mewakili subnet yang dibagikan project host dengan ph-fm-svc-project-2.

Membuat tingkat akses gce-subnet-3

  1. Di pemilih project di bagian atas konsol Google Cloud , klik tab Semua, lalu pilih organisasi Anda.
  2. Buat tingkat akses dasar dengan mengikuti petunjuk di halaman Membuat tingkat akses dasar. Tentukan opsi berikut:
    1. Di bagian Create conditions in, pilih Basic mode.
    2. Di kolom Access level title, masukkan gce-subnet-3.
    3. Di bagian Kondisi, untuk opsi Jika kondisi terpenuhi, tampilkan, pilih BENAR.
    4. Di bagian Subnetwork IP, pilih IP Pribadi.
    5. Pilih VPC Networks, identifikasi project, lalu pilih VPC name.
    6. Untuk Subnetwork IP, pilih rentang CIDR yang mewakili subnet yang dibagikan project host dengan ph-fm-svc-project-3.

Langkah-langkah konfigurasi untuk aiml-host-perimeter

Pilih jenis konfigurasi untuk perimeter baru

Di bagian ini, Anda akan membuat perimeter layanan Kontrol Layanan VPC (aiml-host-perimeter) dalam mode uji coba. Dalam mode uji coba, perimeter mencatat pelanggaran seolah-olah perimeter diterapkan, tetapi tidak mencegah akses ke layanan yang dibatasi. Menggunakan mode uji coba sebelum beralih ke mode yang diterapkan direkomendasikan sebagai praktik terbaik.

  1. Di menu navigasi konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

    Buka Keamanan

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman VPC Service Controls, klik Dry run mode.

  4. Klik Perimeter baru.

  5. Di tab Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter, misalnya, aiml-host-perimeter.

    Nama perimeter dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), dan garis bawah (_). Nama perimeter peka huruf besar/kecil dan harus unik dalam kebijakan akses.

  6. Setujui setelan default untuk perimeter.

Pilih resource yang akan dilindungi

  1. Klik Resource to protect.
  2. Untuk menambahkan project atau jaringan VPC yang ingin Anda amankan dalam perimeter, lakukan hal berikut:
    1. Klik Tambahkan Fasilitas.
    2. Untuk menambahkan project ke perimeter, di panel Tambahkan resource, klik Tambahkan project.
      1. Pilih project yang ingin ditambahkan, dalam hal ini aiml-host-project.
      2. Klik Tambahkan referensi yang dipilih. Project yang ditambahkan akan muncul di bagian Project.

Pilih layanan yang dibatasi

Dalam arsitektur referensi ini, cakupan API yang dibatasi terbatas, sehingga hanya mengaktifkan API yang diperlukan untuk Vertex AI. Namun, sebagai praktik terbaik, sebaiknya Anda membatasi semua layanan saat membuat perimeter untuk mengurangi risiko pemindahan data yang tidak sah dari layanan Google Cloud .

Untuk memilih layanan yang akan diamankan dalam perimeter, lakukan hal berikut:

  1. Klik Layanan yang Dibatasi.
  2. Di panel Restricted Services, klik Add services.
  3. Pada dialog Specify services to restrict, pilih Compute Engine API.
  4. Klik Tambahkan Compute Engine API.

Opsional: Pilih layanan yang dapat diakses VPC

Setelan Layanan yang dapat diakses VPC membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Dalam arsitektur referensi ini, kita mempertahankan setelan default Semua Layanan.

Opsional: Pilih tingkat akses

Jika Anda membuat tingkat akses CIDR perusahaan di bagian sebelumnya, lakukan langkah-langkah berikut untuk mengizinkan akses ke resource yang dilindungi dari luar perimeter:

  1. Klik Tingkat Akses.
  2. Klik kotak Pilih Tingkat Akses.

    Anda juga dapat menambahkan tingkat akses setelah perimeter dibuat.

  3. Centang kotak yang sesuai dengan tingkat akses. (Dalam arsitektur referensi ini, ini adalah corp-public-block.)

Mengonfigurasi kebijakan ingress

Komunikasi dua arah terjadi antara project host dan project layanan saat resource komputasi dibuat di project layanan tertentu, karena project host memiliki jaringan VPC yang berisi subnet yang dibagikan dengan project layanan. Di bagian ini, Anda akan mengonfigurasi aturan ingress yang mengizinkan ketiga project layanan mengakses resource komputasi di project host untuk alur ini.

  1. Di menu kiri, klik Kebijakan traffic masuk.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan ingress, lakukan hal berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
      2. Sumber: Project (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Semua project
      2. Layanan: Layanan yang dipilih
      3. Layanan yang dipilih: Compute Engine API
      4. Metode: Semua metode

Mengonfigurasi kebijakan egress

Di bagian ini, Anda akan mengonfigurasi dua aturan keluar.

Aturan traffic keluar pertama

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-1, aturan keluar diperlukan untuk mengizinkan subnet tersebut mengakses perimeter ph-fm-svc-project-1 dari perimeter project host. Tingkat akses perusahaan memungkinkan komunikasi dua arah yang diperlukan untuk pembuatan instance compute saat pengguna akhir membuat resource komputasi dalam project layanan menggunakan tingkat akses yang dikonfigurasi.

  1. Di menu kiri, klik Kebijakan keluar.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan traffic keluar, lakukan tindakan berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
      2. Pilih Aktifkan sumber keluar tingkat akses.
      3. Tingkat akses corp-public-block dan gce-subnet-1.
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Project yang dipilih
      2. Tambahkan project: ph-fm-svc-project-1
      3. Layanan: Semua layanan

Aturan traffic keluar kedua

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-2 dan ph-fm-svc-project-3, aturan keluar diperlukan untuk mengizinkan subnet tersebut mengakses perimeter project layanan dari perimeter project host. Tingkat akses perusahaan memungkinkan komunikasi dua arah yang diperlukan untuk pembuatan instance komputasi saat pengguna akhir membuat resource komputasi di project layanan menggunakan tingkat akses yang dikonfigurasi.

  1. Di menu kiri, klik Kebijakan keluar.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan traffic keluar, lakukan tindakan berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
      2. Pilih Aktifkan sumber keluar tingkat akses.
      3. Tingkat akses corp-public-block, gce-subnet-2, dan gce-subnet-3.
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Project yang dipilih
      2. Tambahkan project: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Layanan: Semua layanan

Membuat perimeter

Setelah menyelesaikan langkah-langkah konfigurasi sebelumnya, buat perimeter dengan mengklik Buat perimeter.

Langkah-langkah konfigurasi untuk high-trust-svc-perimeter

Pilih jenis konfigurasi untuk perimeter baru

  1. Di menu navigasi konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

    Buka Keamanan

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman VPC Service Controls, klik Dry run mode.

  4. Klik Perimeter baru.

  5. Di tab Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter, misalnya, high-trust-svc-perimeter.

    Nama perimeter dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), dan garis bawah (_). Nama perimeter peka huruf besar/kecil dan harus unik dalam kebijakan akses.

  6. Setujui setelan default untuk perimeter.

Pilih resource yang akan dilindungi

  1. Klik Resource to protect.
  2. Untuk menambahkan project atau jaringan VPC yang ingin Anda amankan dalam perimeter, lakukan hal berikut:
    1. Klik Tambahkan Fasilitas.
    2. Untuk menambahkan project ke perimeter, di panel Tambahkan resource, klik Tambahkan project.
      1. Pilih project yang ingin ditambahkan, dalam hal ini ph-fm-svc-project-1.
      2. Klik Tambahkan referensi yang dipilih. Project yang ditambahkan akan muncul di bagian Project.

Pilih layanan yang dibatasi

Dalam arsitektur referensi ini, cakupan API yang dibatasi terbatas, sehingga hanya mengaktifkan API yang diperlukan untuk Gemini. Namun, sebagai praktik terbaik, sebaiknya Anda membatasi semua layanan saat membuat perimeter untuk mengurangi risiko pemindahan data yang tidak sah dari layanan Google Cloud .

Untuk memilih layanan yang akan diamankan dalam perimeter, lakukan hal berikut:

  1. Klik Layanan yang Dibatasi.
  2. Di panel Restricted Services, klik Add services.
  3. Pada dialog Specify services to restrict, pilih Compute Engine API.
  4. Klik Tambahkan Compute Engine API.
  5. Di panel Restricted Services, klik Add services.
  6. Di dialog Tentukan layanan yang akan dibatasi, pilih Vertex AI API.
  7. Klik Tambahkan Vertex AI API.

Opsional: Pilih layanan yang dapat diakses VPC

Setelan Layanan yang dapat diakses VPC membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Dalam arsitektur referensi ini, kita mempertahankan setelan default Semua Layanan.

Opsional: Pilih tingkat akses

Jika Anda membuat tingkat akses CIDR perusahaan di bagian sebelumnya, lakukan langkah-langkah berikut untuk mengizinkan akses ke resource yang dilindungi dari luar perimeter:

  1. Klik Tingkat Akses.
  2. Klik kotak Pilih Tingkat Akses.

    Anda juga dapat menambahkan tingkat akses setelah perimeter dibuat.

  3. Centang kotak yang sesuai dengan tingkat akses. (Dalam arsitektur referensi ini, ini adalah corp-public-block.)

Mengonfigurasi kebijakan ingress

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-1, aturan masuk diperlukan untuk mengizinkan akses subnet tersebut ke perimeter ph-fm-svc-project-1 dari project host. Tindakan ini memungkinkan instance compute ph-fm-svc-project-1 mengakses layanan terkelola dalam ph-fm-svc-project-1.

  1. Di menu kiri, klik Kebijakan traffic masuk.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan ingress, lakukan hal berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
      2. Sumber: Tingkat akses
      3. Tingkat akses: gce-subnet-1
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Semua project
      2. Layanan: Semua layanan

Mengonfigurasi kebijakan egress

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-1, aturan keluar diperlukan untuk mengizinkan komunikasi dua arah yang terjadi antara project layanan dan project host-nya saat resource komputasi dibuat di project layanan.

  1. Di menu kiri, klik Kebijakan keluar.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan traffic keluar, lakukan tindakan berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Project yang dipilih
      2. Tambahkan project: aiml-host-project
      3. Layanan: Layanan yang dipilih
      4. Layanan yang dipilih: Compute Engine API
      5. Metode: Semua metode

Membuat perimeter

Setelah menyelesaikan langkah-langkah konfigurasi sebelumnya, buat perimeter dengan mengklik Buat perimeter.

Langkah-langkah konfigurasi untuk low-trust-svc-perimeter

Pilih jenis konfigurasi untuk perimeter baru

  1. Di menu navigasi konsol Google Cloud , klik Security, lalu klik VPC Service Controls.

    Buka Keamanan

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman VPC Service Controls, klik Dry run mode.

  4. Klik Perimeter baru.

  5. Di tab Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter, misalnya, low-trust-svc-perimeter.

    Nama perimeter dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), dan garis bawah (_). Nama perimeter peka huruf besar/kecil dan harus unik dalam kebijakan akses.

  6. Setujui setelan default untuk perimeter.

Pilih resource yang akan dilindungi

  1. Klik Resource to protect.
  2. Untuk menambahkan project atau jaringan VPC yang ingin Anda amankan dalam perimeter, lakukan hal berikut:
    1. Klik Tambahkan Fasilitas.
    2. Untuk menambahkan project ke perimeter, di panel Tambahkan resource, klik Tambahkan project.
      1. Pilih project yang ingin Anda tambahkan. Untuk arsitektur referensi ini, pilih hal berikut:
        • ph-fm-svc-project-2
        • ph-fm-svc-project-3
      2. Klik Tambahkan referensi yang dipilih. Project yang ditambahkan akan muncul di bagian Project.

Pilih layanan yang dibatasi

Dalam arsitektur referensi ini, cakupan API yang dibatasi terbatas, sehingga hanya mengaktifkan API yang diperlukan untuk Gemini. Namun, sebagai praktik terbaik, sebaiknya Anda membatasi semua layanan saat membuat perimeter untuk mengurangi risiko pemindahan data yang tidak sah dari layanan Google Cloud .

Untuk memilih layanan yang akan diamankan dalam perimeter, lakukan hal berikut:

  1. Klik Layanan yang Dibatasi.
  2. Di panel Restricted Services, klik Add services.
  3. Pada dialog Specify services to restrict, pilih Compute Engine API.
  4. Klik Tambahkan Compute Engine API.
  5. Di panel Restricted Services, klik Add services.
  6. Di dialog Tentukan layanan yang akan dibatasi, pilih Vertex AI API.
  7. Klik Tambahkan Vertex AI API.

Opsional: Pilih layanan yang dapat diakses VPC

Setelan Layanan yang dapat diakses VPC membatasi kumpulan layanan yang dapat diakses dari endpoint jaringan di dalam perimeter layanan Anda. Dalam arsitektur referensi ini, kita mempertahankan setelan default Semua Layanan.

Opsional: Pilih tingkat akses

Jika Anda membuat tingkat akses CIDR perusahaan di bagian sebelumnya, lakukan langkah-langkah berikut untuk mengizinkan akses ke resource yang dilindungi dari luar perimeter:

  1. Klik Tingkat Akses.
  2. Klik kotak Pilih Tingkat Akses.

    Anda juga dapat menambahkan tingkat akses setelah perimeter dibuat.

  3. Centang kotak yang sesuai dengan tingkat akses. (Dalam arsitektur referensi ini, ini adalah corp-public-block.)

Mengonfigurasi kebijakan ingress

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-2 dan ph-fm-svc-project-3, aturan masuk diperlukan untuk memberikan akses subnet tersebut ke perimeter project layanan dari project host. Hal ini memungkinkan instance komputasi project layanan ini mengakses layanan terkelola dalam ph-fm-svc-project-2 dan ph-fm-svc-project-3.

  1. Di menu kiri, klik Kebijakan traffic masuk.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan ingress, lakukan hal berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
      2. Sumber: Tingkat akses
      3. Tingkat akses: gce-subnet-2, gce-subnet-3
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Semua project
      2. Layanan: Semua layanan

Mengonfigurasi kebijakan egress

Karena project host memiliki subnet yang dibagikan dengan ph-fm-svc-project-2 dan ph-fm-svc-project-3, aturan keluar diperlukan untuk mengizinkan komunikasi dua arah yang terjadi antara project layanan dan project host-nya saat resource komputasi dibuat di project layanan.

  1. Di menu kiri, klik Kebijakan egress.
  2. Klik Tambahkan Aturan.
  3. Di panel Aturan traffic keluar, lakukan tindakan berikut:
    1. Untuk atribut FROM, pilih atribut FROM berikut dari klien API:
      1. Identitas: Identitas apa pun
    2. Untuk atribut TO, pilih atribut TO berikut dari layanan dan resource Google Cloud:
      1. Project: Project yang dipilih
      2. Tambahkan project: aiml-host-project
      3. Layanan: Layanan yang dipilih
      4. Layanan yang dipilih: Compute Engine API
      5. Metode: Semua metode

Membuat perimeter

Setelah menyelesaikan langkah-langkah konfigurasi sebelumnya, buat perimeter dengan mengklik Buat perimeter.

Mengonfigurasi jaringan

Menggunakan endpoint Private Service Connect untuk mengakses Google API

Private Service Connect untuk mengakses Google API adalah alternatif untuk menggunakan Akses Google Pribadi atau nama domain publik untuk Google API. Dalam hal ini, produsernya adalah Google.

Menggunakan Private Service Connect memungkinkan Anda melakukan hal berikut:

  • Buat satu atau beberapa alamat IP internal guna mengakses Google API untuk berbagai kasus penggunaan.
  • Arahkan traffic lokal Anda ke alamat IP dan region tertentu saat mengakses Google API.
  • Buat nama DNS endpoint kustom yang akan digunakan untuk me-resolve Google API.

Dalam arsitektur referensi, endpoint Google API Private Service Connect bernama restricted dengan alamat IP 192.168.10.2 di-deploy dengan Kontrol Layanan VPC target, yang digunakan sebagai IP Virtual (VIP) untuk mengakses layanan yang dibatasi yang dikonfigurasi di perimeter Kontrol Layanan VPC. Endpoint Private Service Connect di-deploy di project host, aiml-host-project.

Mengakses Gemini Pro dari instance Compute Engine

Saat Anda membuat endpoint Private Service Connect, Direktori Layanan akan membuat data DNS di zona pribadi p.googleapis.com. Data tersebut mengarah ke alamat IP endpoint, dan menggunakan format SERVICE-ENDPOINT.p.googleapis.com yang setara dengan nama domain yang sepenuhnya memenuhi syarat yang digunakan untuk mengakses Vertex AI API: LOCATION-aiplatform-restricted.p.googleapis.com.

Memvalidasi konfigurasi jaringan

Dari instance Compute Engine yang di-deploy di project layanan, prosedur berikut digunakan untuk mengupdate Vertex AI API agar menggunakan nama domain yang sepenuhnya memenuhi syarat kustom dan melakukan validasi.

  1. Lakukan inisialisasi variabel lingkungan Python Anda sebagai berikut:

    PROJECT_ID="ph-fm-svc-project-1"
    LOCATION_ID="us-central1"
    API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
    MODEL_ID="gemini-2.0-flash-exp"
    GENERATE_CONTENT_API="streamGenerateContent"
    
  2. Dengan menggunakan editor teks, buat file request.json yang berisi JSON berikut:

    {
      "contents": [
        {
          "role": "user",
          "parts": [
            {
              "text": "what weight more 1kg feathers vs 1kg stones"
            }
          ]
        }
      ],
      "generationConfig": {
        "temperature": 1,
        "maxOutputTokens": 8192,
        "topP": 0.95,
        "seed": 0
      },
      "safetySettings": [
        {
          "category": "HARM_CATEGORY_HATE_SPEECH",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_HARASSMENT",
          "threshold": "OFF"
        }
      ]
    }
    
  3. Buat permintaan cURL berikut ke Vertex AI Gemini API:

    curl \
    -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
    

Memvalidasi perimeter Anda dalam mode uji coba

Dalam arsitektur referensi ini, perimeter layanan dikonfigurasi dalam mode uji coba, sehingga Anda dapat menguji pengaruh kebijakan akses tanpa penerapan. Artinya, Anda dapat melihat pengaruh kebijakan terhadap lingkungan jika kebijakan tersebut aktif, tetapi tanpa risiko mengganggu traffic yang sah.

Untuk mempelajari cara memvalidasi perimeter dalam mode uji coba, tonton video YouTube Logging uji coba Kontrol Layanan VPC.

Setelah memvalidasi perimeter dalam mode uji coba, alihkan ke mode diterapkan.