Consentire l'accesso alle risorse protette dall'endpoint privato all'interno di un perimetro dei Controlli di servizio VPC

Nelle architetture VPC condivise, la rete del progetto host è condivisa con il progetto di servizio. Fino a poco tempo fa, questo impediva di separare questi progetti in diversi perimetri. Con l'introduzione di regole di ingresso e uscita basate su indirizzi IP privati, i progetti host e di servizio ora possono trovarsi in perimetri distinti, mantenendo al contempo un accesso controllato tramite queste regole.

Architettura di riferimento

I seguenti attributi vengono utilizzati nel criterio del servizio:

  • Perimetri dei Controlli di servizio VPC
  • Indirizzi IP privati di Gestore contesto accesso
  • Regole per il traffico in entrata e in uscita

Nel componente di rete, questa architettura utilizza un endpoint Private Service Connect per accedere alle API di Google.

Diagramma di architettura che mostra l'utilizzo dei Controlli di servizio VPC per creare un perimetro di servizio.

In questa architettura di riferimento, le regole di inoltro e di uscita e gli indirizzi IP privati vengono utilizzati per controllare l'accesso tra le istanze Compute Engine e l'API Vertex AI per i seguenti progetti e perimetri di servizio:

Perimetro Progetti all'interno del perimetro
aiml-host-perimeter aiml-host-project
high-trust-svc-perimeter ph-fm-svc-project-1
low-trust-svc-perimeter ph-fm-svc-project-2, ph-fm-svc-project-3

L'accesso all'API Vertex AI dalle istanze Compute Engine di ciascun progetto di servizio è controllato dalle regole di instradamento in entrata e in uscita di VPC Service Controls. Queste regole utilizzano i livelli di accesso di Gestore contesto accesso configurati con indirizzi IP privati per consentire alle subnet condivise con ogni progetto di servizio di accedere ai rispettivi perimetri.

(Facoltativo) Crea un livello di accesso per il traffico pubblico dell'organizzazione

Se i tuoi utenti finali richiedono l'accesso a Vertex AI tramite la console Google Cloud, segui le istruzioni riportate in questa sezione per creare un livello di accesso da utilizzare in Controlli di servizio VPC. Tuttavia, se l'accesso alle API è strettamente programmatico da origini private (ad esempio on-premise con Accesso privato Google per on-premise o stazioni di lavoro cloud), il livello di accesso non è richiesto.

In questa architettura di riferimento utilizziamo un intervallo CIDR,corp-public-block, per consentire al traffico dei dipendenti dell'organizzazione di accedere alla console Google Cloud.

Gestore contesto accesso consente agli Google Cloud amministratori dell'organizzazione di definire un controllo granulare degli accessi alle risorse in Google Cloud.

I livelli di accesso descrivono i requisiti per l'accettazione delle richieste. Ecco alcuni esempi:

  • Tipo di dispositivo e sistema operativo (richiede una licenza Chrome Enterprise Premium)
  • Indirizzo IP
  • Localizzazioni
  • Identità utente

Se è la prima volta che l'organizzazione utilizza Gestore contesto accesso, i suoi amministratori devono definire un criterio di accesso, che è un contenitore per i livelli di accesso e i perimetri di servizio. Per farlo:

  1. Nel selettore dei progetti nella parte superiore della console Google Cloud, fai clic sulla scheda Tutti e seleziona la tua organizzazione.
  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Creare un livello di accesso di base. Specifica le seguenti opzioni:
    1. In Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci corp-public-block.
    3. Nella sezione Condizioni, per l'opzione Se la condizione viene soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP pubblico.
    5. Per l'intervallo di indirizzi IP, specifica l'intervallo CIDR esterno che richiede accesso al perimetro di Controlli di servizio VPC.

Crea il perimetro di servizio dei Controlli di servizio VPC

Quando crei un perimetro di servizio, uno dei modi per consentire l'accesso ai servizi protetti dall'esterno del perimetro è creare livelli di accesso (utilizzando indirizzi IP, nel nostro esempio). In questa architettura di riferimento vengono creati più perimetri di servizi che utilizzano regole di ingresso e uscita per controllare l'accesso all'API Vertex AI e alla comunicazione dell'API Compute Engine come segue:

  • Alla sottorete per le risorse di calcolo appartenenti al progetto di servizio ph-fm-svc-project-1 è consentito l'accesso all'API Vertex AI e all'API Compute Engine in ph-fm-svc-project-1 da aiml-host-project.
  • Alla sottorete per le risorse di calcolo appartenenti ai progetti di servizio ph-fm-svc-project-2 e ph-fm-svc-project-3 è consentito l'accesso alle API Vertex AI e Compute Engine nel ph-fm-svc-project-2 e nel progetto ph-fm-svc-project-3 da aiml-host-project.

A ogni progetto di servizio è consentito l'accesso all'API Compute Engine nel progetto host (poiché si verificano flussi bidirezionali tra il progetto host e i progetti di servizio quando vengono create risorse di calcolo in un determinato progetto di servizio).

In questa architettura di riferimento, viene creato un livello di accesso per ogni sottorete per utilizzare le regole di instradamento in entrata e in uscita per consentire i flussi richiesti tra il perimetro del progetto host e ogni perimetro del progetto di servizio.

Crea livello di accesso gce-subnet-1

  1. Nel selettore di progetti nella parte superiore della console Google Cloud, fai clic sulla scheda Tutti e poi seleziona la tua organizzazione.
  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Creare un livello di accesso di base. Specifica le seguenti opzioni:
    1. In Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci gce-subnet-1.
    3. Nella sezione Condizioni, per l'opzione Se la condizione viene soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP privato.
    5. Seleziona Reti VPC, identifica il tuo progetto e seleziona il nome della VPC.
    6. Per Subnet IP, seleziona l'intervallo CIDR che rappresenta la subnet condivisa dal progetto host con ph-fm-svc-project-1.

Crea livello di accesso gce-subnet-2

  1. Nel selettore di progetti nella parte superiore della console Google Cloud, fai clic sulla scheda Tutti e poi seleziona la tua organizzazione.
  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Creare un livello di accesso di base. Specifica le seguenti opzioni:
    1. In Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci gce-subnet-2.
    3. Nella sezione Condizioni, per l'opzione Se la condizione viene soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP privato.
    5. Seleziona Reti VPC, identifica il tuo progetto e seleziona il nome della VPC.
    6. Per Subnet IP, seleziona l'intervallo CIDR che rappresenta la subnet condivisa dal progetto host con ph-fm-svc-project-2.

Crea livello di accesso gce-subnet-3

  1. Nel selettore di progetti nella parte superiore della console Google Cloud, fai clic sulla scheda Tutti e poi seleziona la tua organizzazione.
  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Creare un livello di accesso di base. Specifica le seguenti opzioni:
    1. In Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci gce-subnet-3.
    3. Nella sezione Condizioni, per l'opzione Se la condizione viene soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP privato.
    5. Seleziona Reti VPC, identifica il tuo progetto e seleziona il nome della VPC.
    6. Per Subnet IP, seleziona l'intervallo CIDR che rappresenta la subnet condivisa dal progetto host con ph-fm-svc-project-3.

Passaggi di configurazione per aiml-host-perimeter

Seleziona il tipo di configurazione per il nuovo perimetro

In questa sezione, crei un perimetro di servizio dei Controlli di servizio VPC (aiml-host-perimeter) in modalità di prova. In modalità di prova, il perimetro registra le violazioni come se i perimetri fossero applicati, ma non impedisce l'accesso ai servizi con limitazioni. Come best practice, ti consigliamo di utilizzare la modalità di prova prima di passare alla modalità forzata.

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi su Controlli di servizio VPC.

    Vai a Sicurezza

  2. Se richiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.

  4. Fai clic su Nuovo perimetro.

  5. Nella scheda Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro, ad esempio aiml-host-perimeter.

    Un nome perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) e trattini bassi (_). Il nome perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

  6. Accetta le impostazioni predefinite per il perimetro.

Seleziona le risorse da proteggere

  1. Fai clic su Risorse da proteggere.
  2. Per aggiungere progetti o reti VPC che vuoi proteggere all'interno del perimetro:
    1. Fai clic su Aggiungi risorse.
    2. Per aggiungere progetti al perimetro, fai clic su Aggiungi progetto nel riquadro Aggiungi risorse.
      1. Seleziona il progetto da aggiungere, in questo caso aiml-host-project.
      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

Seleziona i servizi con limitazioni

In questa architettura di riferimento, l'ambito delle API con limitazioni è limitato, poiché vengono attivate solo le API necessarie per Vertex AI. Tuttavia, come best practice, ti consigliamo di limitare tutti i servizi quando crei un perimetro per ridurre il rischio di esfiltrazione dei dati dai servizi. Google Cloud

Per selezionare i servizi da proteggere all'interno del perimetro:

  1. Fai clic su Servizi con limitazioni.
  2. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
  3. Nella finestra di dialogo Specifica i servizi da limitare, seleziona l'API Compute Engine.
  4. Fai clic su Aggiungi API Compute Engine.

(Facoltativo) Seleziona i servizi accessibili da VPC

L'impostazione Servizi accessibili VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio. In questa architettura di riferimento, manteniamo l'impostazione predefinita Tutti i servizi.

(Facoltativo) Seleziona il livello di accesso

Se hai creato un livello di accesso CIDR aziendale in una sezione precedente, segui la procedura riportata di seguito per consentire l'accesso alle risorse protette dall'esterno del perimetro:

  1. Fai clic su Livelli di accesso.
  2. Fai clic sulla casella Scegli livello di accesso.

    Puoi anche aggiungere i livelli di accesso dopo aver creato un perimetro.

  3. Seleziona la casella di controllo corrispondente al livello di accesso. In questa architettura di riferimento, è corp-public-block.

Configura il criterio in entrata

La comunicazione bidirezionale avviene tra un progetto host e un progetto di servizio quando vengono create risorse di calcolo in un determinato progetto di servizio, perché il progetto host è proprietario della rete VPC contenente la subnet condivisa con il progetto di servizio. In questa sezione, configuri una regola di ingresso che consenta a tutti e tre i progetti di servizio di accedere alle risorse di calcolo nel progetto host per questi flussi.

  1. Nel menu a sinistra, fai clic su Regola di ingresso.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di ingresso:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
      2. Origine: Progetti (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
    2. Per gli attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: tutti i progetti
      2. Servizi: servizi selezionati
      3. Servizi selezionati: API Compute Engine
      4. Metodi: tutti i metodi

Configura il criterio in uscita

In questa sezione configuri due regole di uscita.

Prima regola in uscita

Poiché il progetto host è proprietario della subnet condivisa con ph-fm-svc-project-1, è necessaria una regola di uscita per consentire a questa subnet di accedere al perimetro di ph-fm-svc-project-1 dal perimetro del progetto host. Il livello di accesso aziendale consente la comunicazione bidirezionale richiesta per la creazione di istanze di calcolo quando un utente finale crea risorse di calcolo in un progetto di servizio utilizzando il livello di accesso configurato.

  1. Nel menu a sinistra, fai clic su Regola di uscita.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di uscita, procedi nel seguente modo:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
      2. Seleziona Attiva le origini in uscita a livello di accesso.
      3. Livelli di accesso corp-public-block e gce-subnet-1.
    2. Per gli attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: progetti selezionati
      2. Aggiungi progetto: ph-fm-svc-project-1
      3. Servizi: tutti i servizi

Seconda regola in uscita

Poiché il progetto host è proprietario delle subnet condivise con ph-fm-svc-project-2 e ph-fm-svc-project-3, è necessaria una regola di uscita per consentire a queste subnet di accedere al perimetro dei progetti di servizio dal perimetro del progetto host. Il livello di accesso aziendale consente la comunicazione bidirezionale necessaria per la creazione di istanze di calcolo quando un utente finale crea risorse di calcolo in un progetto di servizio utilizzando il livello di accesso configurato.

  1. Nel menu a sinistra, fai clic su Regola di uscita.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di uscita, procedi nel seguente modo:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
      2. Seleziona Attiva le origini in uscita a livello di accesso.
      3. Livelli di accesso corp-public-block, gce-subnet-2 e gce-subnet-3.
    2. Per Attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: progetti selezionati
      2. Aggiungi progetto: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Servizi: tutti i servizi

Crea il perimetro

Dopo aver completato i passaggi di configurazione precedenti, crea il perimetro facendo clic su Crea perimetro.

Passaggi di configurazione per high-trust-svc-perimeter

Seleziona il tipo di configurazione per il nuovo perimetro

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi su Controlli di servizio VPC.

    Vai a Sicurezza

  2. Se richiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.

  4. Fai clic su Nuovo perimetro.

  5. Nella scheda Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro, ad esempio high-trust-svc-perimeter.

    Un nome perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) e trattini bassi (_). Il nome perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

  6. Accetta le impostazioni predefinite per il perimetro.

Seleziona le risorse da proteggere

  1. Fai clic su Risorse da proteggere.
  2. Per aggiungere progetti o reti VPC che vuoi proteggere all'interno del perimetro:
    1. Fai clic su Aggiungi risorse.
    2. Per aggiungere progetti al perimetro, fai clic su Aggiungi progetto nel riquadro Aggiungi risorse.
      1. Seleziona il progetto da aggiungere, in questo caso ph-fm-svc-project-1.
      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

Seleziona i servizi con limitazioni

In questa architettura di riferimento, l'ambito delle API con restrizioni è limitato, in quanto vengono attivate solo le API necessarie per Gemini. Tuttavia, come best practice, ti consigliamo di limitare tutti i servizi quando crei un perimetro per ridurre il rischio di esfiltrazione dei dati dai servizi. Google Cloud

Per selezionare i servizi da proteggere all'interno del perimetro:

  1. Fai clic su Servizi con limitazioni.
  2. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
  3. Nella finestra di dialogo Specifica i servizi da limitare, seleziona l'API Compute Engine.
  4. Fai clic su Aggiungi API Compute Engine.
  5. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
  6. Nella finestra di dialogo Specifica i servizi da limitare, seleziona l'API Vertex AI.
  7. Fai clic su Aggiungi API Vertex AI.

(Facoltativo) Seleziona i servizi accessibili da VPC

L'impostazione Servizi accessibili VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio. In questa architettura di riferimento, manteniamo l'impostazione predefinita Tutti i servizi.

(Facoltativo) Seleziona il livello di accesso

Se hai creato un livello di accesso CIDR aziendale in una sezione precedente, segui la procedura riportata di seguito per consentire l'accesso alle risorse protette dall'esterno del perimetro:

  1. Fai clic su Livelli di accesso.
  2. Fai clic sulla casella Scegli livello di accesso.

    Puoi anche aggiungere i livelli di accesso dopo aver creato un perimetro.

  3. Seleziona la casella di controllo corrispondente al livello di accesso. In questa architettura di riferimento, è corp-public-block.

Configura il criterio in entrata

Poiché il progetto host è proprietario della subnet condivisa con ph-fm-svc-project-1, è necessaria una regola di ingresso per consentire a questa subnet di accedere al perimetro di ph-fm-svc-project-1 dal progetto host. In questo modo, le istanze di calcolo di ph-fm-svc-project-1 possono accedere al servizio gestito all'interno di ph-fm-svc-project-1.

  1. Nel menu a sinistra, fai clic su Regola di ingresso.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di ingresso:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
      2. Origine: livello di accesso
      3. Livello di accesso: gce-subnet-1
    2. Per gli attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: tutti i progetti
      2. Servizi: tutti i servizi

Configura il criterio in uscita

Poiché il progetto host è proprietario della subnet condivisa con ph-fm-svc-project-1, è necessaria una regola di uscita per consentire la comunicazione bidirezionale tra il progetto di servizio e il relativo progetto host quando vengono create risorse di calcolo nel progetto di servizio.

  1. Nel menu a sinistra, fai clic su Regola di uscita.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di uscita, procedi nel seguente modo:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
    2. Per gli attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: progetti selezionati
      2. Aggiungi progetto: aiml-host-project
      3. Servizi: servizi selezionati
      4. Servizi selezionati: API Compute Engine
      5. Metodi: tutti i metodi

Crea il perimetro

Dopo aver completato i passaggi di configurazione precedenti, crea il perimetro facendo clic su Crea perimetro.

Passaggi di configurazione per low-trust-svc-perimeter

Seleziona il tipo di configurazione per il nuovo perimetro

  1. Nel menu di navigazione della console Google Cloud, fai clic su Sicurezza e poi su Controlli di servizio VPC.

    Vai a Sicurezza

  2. Se richiesto, seleziona la tua organizzazione, la tua cartella o il tuo progetto.

  3. Nella pagina Controlli di servizio VPC, fai clic su Modalità di prova secca.

  4. Fai clic su Nuovo perimetro.

  5. Nella scheda Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro, ad esempio low-trust-svc-perimeter.

    Un nome perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) e trattini bassi (_). Il nome perimetro è sensibile alle maiuscole e deve essere univoco all'interno di un criterio di accesso.

  6. Accetta le impostazioni predefinite per il perimetro.

Seleziona le risorse da proteggere

  1. Fai clic su Risorse da proteggere.
  2. Per aggiungere progetti o reti VPC che vuoi proteggere all'interno del perimetro:
    1. Fai clic su Aggiungi risorse.
    2. Per aggiungere progetti al perimetro, fai clic su Aggiungi progetto nel riquadro Aggiungi risorse.
      1. Seleziona il progetto da aggiungere. Per questa architettura di riferimento, scegli quanto segue:
        • ph-fm-svc-project-2
        • ph-fm-svc-project-3
      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

Seleziona i servizi con limitazioni

In questa architettura di riferimento, l'ambito delle API con restrizioni è limitato, in quanto vengono attivate solo le API necessarie per Gemini. Tuttavia, come best practice, ti consigliamo di limitare tutti i servizi quando crei un perimetro per ridurre il rischio di esfiltrazione dei dati dai servizi. Google Cloud

Per selezionare i servizi da proteggere all'interno del perimetro:

  1. Fai clic su Servizi con limitazioni.
  2. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
  3. Nella finestra di dialogo Specifica i servizi da limitare, seleziona l'API Compute Engine.
  4. Fai clic su Aggiungi API Compute Engine.
  5. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
  6. Nella finestra di dialogo Specifica i servizi da limitare, seleziona l'API Vertex AI.
  7. Fai clic su Aggiungi API Vertex AI.

(Facoltativo) Seleziona i servizi accessibili da VPC

L'impostazione Servizi accessibili VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio. In questa architettura di riferimento, manteniamo l'impostazione predefinita Tutti i servizi.

(Facoltativo) Seleziona il livello di accesso

Se hai creato un livello di accesso CIDR aziendale in una sezione precedente, segui la procedura riportata di seguito per consentire l'accesso alle risorse protette dall'esterno del perimetro:

  1. Fai clic su Livelli di accesso.
  2. Fai clic sulla casella Scegli livello di accesso.

    Puoi anche aggiungere i livelli di accesso dopo aver creato un perimetro.

  3. Seleziona la casella di controllo corrispondente al livello di accesso. In questa architettura di riferimento, è corp-public-block.

Configura il criterio in entrata

Poiché il progetto host è proprietario della subnet condivisa con ph-fm-svc-project-2 e ph-fm-svc-project-3, è necessaria una regola di ingresso per concedere a queste subnet accesso al perimetro del progetto di servizio dal progetto host. In questo modo, le istanze di calcolo di questi progetti di servizi possono accedere al servizio gestito in ph-fm-svc-project-2 e ph-fm-svc-project-3.

  1. Nel menu a sinistra, fai clic su Regola di ingresso.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di ingresso:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
      2. Origine: livello di accesso
      3. Livello di accesso: gce-subnet-2, gce-subnet-3
    2. Per gli attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: tutti i progetti
      2. Servizi: tutti i servizi

Configura il criterio in uscita

Poiché il progetto host è proprietario della subnet condivisa con ph-fm-svc-project-2 e ph-fm-svc-project-3, è necessaria una regola di uscita per consentire la comunicazione bidirezionale tra i progetti di servizio e il loro progetto host quando vengono create risorse di calcolo nei progetti di servizio.

  1. Nel menu a sinistra, fai clic su Regola di uscita.
  2. Fai clic su Aggiungi regola.
  3. Nel riquadro Regola di uscita, procedi nel seguente modo:
    1. Per gli attributi FROM, seleziona i seguenti attributi FROM del client API:
      1. Identità: qualsiasi identità
    2. Per Attributi TO, seleziona i seguenti attributi TO di Google Cloud servizi e risorse:
      1. Progetto: progetti selezionati
      2. Aggiungi progetto: aiml-host-project
      3. Servizi: servizi selezionati
      4. Servizi selezionati: API Compute Engine
      5. Metodi: tutti i metodi

Crea il perimetro

Dopo aver completato i passaggi di configurazione precedenti, crea il perimetro facendo clic su Crea perimetro.

Configura la rete

Utilizzare un endpoint di Private Service Connect per accedere alle API di Google

Private Service Connect per accedere alle API di Google è un'alternativa all'utilizzo dell'accesso privato Google o dei nomi di dominio pubblici per le API di Google. In questo caso, il produttore è Google.

L'utilizzo di Private Service Connect ti consente di:

  • Crea uno o più indirizzi IP interni per accedere alle API Google per diversi casi d'uso.
  • Indirizza il traffico on-premise ad indirizzi IP e regioni specifici quando accedhi alle API di Google.
  • Crea un nome DNS dell'endpoint personalizzato da utilizzare per risolvere le API di Google.

Nell'architettura di riferimento, viene implementato un endpoint API di Google Private Service Connect denominato restricted con indirizzo IP 192.168.10.2 con i Controlli di servizio VPC di destinazione, utilizzato come IP virtuale (VIP) per accedere ai servizi con limitazioni configurati nel perimetro dei Controlli di servizio VPC. L'endpoint Private Service Connect viene disegnato nel progetto host, aiml-host-project.

Accedere a Gemini Pro dalle istanze Compute Engine

Quando crei un endpoint Private Service Connect, Service Directory crea record DNS in una p.googleapis.comzona privata. I record rimandano all'indirizzo IP dell'endpoint e utilizzano il formato SERVICE-ENDPOINT.p.googleapis.com che corrisponde al nome di dominio completo utilizzato per accedere all'API Vertex AI: LOCATION-aiplatform-restricted.p.googleapis.com.

Convalida la configurazione di rete

Dalle istanze Compute Engine di cui è stato eseguito il deployment nei progetti di servizio, viene utilizzata la procedura seguente per aggiornare l'API Vertex AI in modo che utilizzi il nome di dominio completo personalizzato ed esegui la convalida.

  1. Inizializza le variabili di ambiente Python come segue:

    PROJECT_ID="ph-fm-svc-project-1"
    LOCATION_ID="us-central1"
    API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
    MODEL_ID="gemini-2.0-flash-exp"
    GENERATE_CONTENT_API="streamGenerateContent"
    
  2. Con un editor di testo, crea un file request.json contenente il seguente JSON:

    {
      "contents": [
        {
          "role": "user",
          "parts": [
            {
              "text": "what weight more 1kg feathers vs 1kg stones"
            }
          ]
        }
      ],
      "generationConfig": {
        "temperature": 1,
        "maxOutputTokens": 8192,
        "topP": 0.95,
        "seed": 0
      },
      "safetySettings": [
        {
          "category": "HARM_CATEGORY_HATE_SPEECH",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_HARASSMENT",
          "threshold": "OFF"
        }
      ]
    }
    
  3. Invia la seguente richiesta cURL all'API Gemini di Vertex AI:

    curl \
    -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
    

Convalida il perimetro in modalità di prova

In questa architettura di riferimento, il perimetro del servizio è configurato in modalità di prova, consentendo di verificare l'effetto del criterio di accesso senza applicazione. Ciò significa che puoi vedere l'impatto delle tue norme sul tuo ambiente se fossero attive, ma senza il rischio di interrompere il traffico legittimo.

Per scoprire come convalidare il perimetro in modalità di prova, guarda il video di YouTube Registrazione dei dati di prova di VPC Service Controls.

Dopo aver convalidato il perimetro in modalità di prova, passa alla modalità di applicazione forzata.