Permita o acesso a recursos protegidos a partir do ponto final privado no interior de um perímetro do VPC Service Controls

Nas arquiteturas de VPC partilhada, a rede do projeto anfitrião é partilhada com o projeto de serviço. Até recentemente, isto impedia a separação destes projetos em diferentes perímetros. Com a introdução de regras de entrada e saída baseadas em endereços IP privados, os projetos de anfitrião e de serviço podem agora residir em perímetros separados, mantendo o acesso controlado através destas regras.

Arquitetura de referência

Os seguintes atributos são usados na política de serviços:

• Perímetros dos VPC Service Controls
• Endereços IP privados do Gestor de acesso sensível ao contexto
• Regras de entrada e saída

No componente de rede, esta arquitetura usa um ponto final do Private Service Connect para aceder às APIs Google.

Nesta arquitetura de referência, as regras de entrada e saída, bem como os endereços IP privados, são usadas para controlar o acesso entre as instâncias do Compute Engine e a API Vertex AI para os seguintes perímetros de serviço e projetos:

Perímetro	Projetos dentro do perímetro
aiml-host-perimeter	aiml-host-project
high-trust-svc-perimeter	ph-fm-svc-project-1
low-trust-svc-perimeter	ph-fm-svc-project-2, ph-fm-svc-project-3

O acesso à API Vertex AI a partir das instâncias do Compute Engine de cada projeto de serviço é controlado pelas regras de entrada e saída dos VPC Service Controls. Estas regras usam níveis de acesso do Access Context Manager configurados com endereços IP privados para permitir que as sub-redes partilhadas com cada projeto de serviço acedam aos respetivos perímetros.

Opcional: crie um nível de acesso para o tráfego público organizacional

Se os seus utilizadores finais precisarem de acesso à Vertex AI através da Google Cloud consola, siga as instruções nesta secção para criar um nível de acesso para utilização nos VPC Service Controls. No entanto, se o acesso às APIs for estritamente programático a partir de origens privadas (como no local com o acesso privado da Google para no local ou as estações de trabalho na nuvem), o nível de acesso não é necessário.

Nesta arquitetura de referência, estamos a usar um intervalo CIDR, corp-public-block, para permitir que o tráfego dos funcionários da organização aceda à consola Google Cloud .

O Gestor de acesso sensível ao contexto permite aos Google Cloud administradores da organização definir um controlo de acesso detalhado baseado em atributos para recursos no Google Cloud.

Os níveis de acesso descrevem os requisitos para que os pedidos sejam aceites. Os exemplos incluem:

• Tipo de dispositivo e sistema operativo (requer uma licença do Chrome Enterprise Premium)
• Endereço IP
• Localizações Geográficas
• Identidade do utilizador

Se esta for a primeira vez que a organização usa o Gestor de contexto de acesso, os respetivos administradores têm de definir uma política de acesso, que é um contentor para níveis de acesso e perímetros de serviço. Isto é feito da seguinte forma:

1. No seletor de projetos na parte superior da Google Cloud consola, clique no separador Tudo e, de seguida, selecione a sua organização.
2. Crie um nível de acesso básico seguindo as instruções na página Crie um nível de acesso básico. Especifique as seguintes opções:
   1. Em Criar condições em, escolha Modo básico.
   2. No campo Título de nível de acesso, introduza corp-public-block.
   3. Na secção Condições, para a opção Quando a condição for cumprida, devolva, escolha VERDADEIRO.
   4. Em Sub-redes IP, escolha IP público.
   5. Para o intervalo de endereços IP, especifique o intervalo CIDR externo que requer acesso ao perímetro dos VPC Service Controls.

Crie o perímetro de serviço dos VPC Service Controls

Quando cria um perímetro de serviço, uma forma de permitir o acesso a serviços protegidos a partir do exterior do perímetro é criar níveis de acesso (usando endereços IP, no nosso exemplo). Nesta arquitetura de referência, são criados vários perímetros de serviço que usam regras de entrada e saída para controlar o acesso à API Vertex AI e à comunicação da API Compute Engine da seguinte forma:

• A sub-rede para recursos de computação pertencentes ao projeto de serviço ph-fm-svc-project-1 tem acesso permitido à API Vertex AI e à API Compute Engine em ph-fm-svc-project-1 a partir de aiml-host-project.
• A sub-rede para recursos de computação pertencentes a projetos de serviço ph-fm-svc-project-2 e ph-fm-svc-project-3 tem acesso permitido à API Vertex AI e à API Compute Engine no projeto ph-fm-svc-project-2 e no projeto ph-fm-svc-project-3 a partir do aiml-host-project.

Cada projeto de serviço tem acesso à API Compute Engine no projeto anfitrião (porque ocorrem fluxos bidirecionais entre o projeto anfitrião e os projetos de serviço quando são criados recursos de computação num determinado projeto de serviço).

Nesta arquitetura de referência, é criado um nível de acesso para cada sub-rede de forma a usar regras de entrada e saída para permitir os fluxos necessários entre o perímetro do projeto anfitrião e o perímetro de cada projeto de serviço.

Criar nível de acesso gce-subnet-1

1. No seletor de projetos na parte superior da Google Cloud consola, clique no separador Tudo e, de seguida, selecione a sua organização.
2. Crie um nível de acesso básico seguindo as instruções na página Crie um nível de acesso básico. Especifique as seguintes opções:
   1. Em Criar condições em, escolha Modo básico.
   2. No campo Título de nível de acesso, introduza gce-subnet-1.
   3. Na secção Condições, para a opção Quando a condição for cumprida, devolva, escolha VERDADEIRO.
   4. Em Sub-redes IP, escolha IP privado.
   5. Selecione Redes VPC, identifique o seu projeto e selecione o nome da VPC.
   6. Para as sub-redes IP, selecione o intervalo CIDR que representa a sub-rede que o projeto anfitrião partilhou com ph-fm-svc-project-1.

Criar nível de acesso gce-subnet-2

1. No seletor de projetos na parte superior da Google Cloud consola, clique no separador Tudo e, de seguida, selecione a sua organização.
2. Crie um nível de acesso básico seguindo as instruções na página Crie um nível de acesso básico. Especifique as seguintes opções:
   1. Em Criar condições em, escolha Modo básico.
   2. No campo Título de nível de acesso, introduza gce-subnet-2.
   3. Na secção Condições, para a opção Quando a condição for cumprida, devolva, escolha VERDADEIRO.
   4. Em Sub-redes IP, escolha IP privado.
   5. Selecione Redes VPC, identifique o seu projeto e selecione o nome da VPC.
   6. Para as sub-redes IP, selecione o intervalo CIDR que representa a sub-rede que o projeto anfitrião partilhou com ph-fm-svc-project-2.

Criar nível de acesso gce-subnet-3

1. No seletor de projetos na parte superior da Google Cloud consola, clique no separador Tudo e, de seguida, selecione a sua organização.
2. Crie um nível de acesso básico seguindo as instruções na página Crie um nível de acesso básico. Especifique as seguintes opções:
   1. Em Criar condições em, escolha Modo básico.
   2. No campo Título de nível de acesso, introduza gce-subnet-3.
   3. Na secção Condições, para a opção Quando a condição for cumprida, devolva, escolha VERDADEIRO.
   4. Em Sub-redes IP, escolha IP privado.
   5. Selecione Redes VPC, identifique o seu projeto e selecione o nome da VPC.
   6. Para as sub-redes IP, selecione o intervalo CIDR que representa a sub-rede que o projeto anfitrião partilhou com ph-fm-svc-project-3.

Passos de configuração para aiml-host-perimeter

Selecione o tipo de configuração para o novo perímetro

Nesta secção, cria um perímetro de serviço (aiml-host-perimeter) do VPC Service Controls no modo de teste. No modo de teste, o perímetro regista violações como se os perímetros estivessem aplicados, mas não impede o acesso a serviços restritos. Recomendamos a utilização do modo de teste antes de mudar para o modo aplicado como prática recomendada.

1. No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em Controlos de serviços da VPC.

   Aceda à segurança

2. Se lhe for pedido, selecione a sua organização, pasta ou projeto.

3. Na página VPC Service Controls, clique em Modo de teste.

4. Clique em Novo perímetro.

5. No separador Novo perímetro de serviço VPC, na caixa Nome do perímetro, introduza um nome para o perímetro, por exemplo, aiml-host-perimeter.

   Um nome de perímetro pode ter um comprimento máximo de 50 carateres, tem de começar por uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro é sensível a maiúsculas e minúsculas e tem de ser único numa política de acesso.

6. Aceite as predefinições do perímetro.

Selecione os recursos a proteger

1. Clique em Recursos a proteger.
2. Para adicionar projetos ou redes VPC que quer manter seguros dentro do perímetro, faça o seguinte:
   1. Clique em Adicionar recursos.
   2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que quer adicionar. Neste caso, aiml-host-project.
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na secção Projetos.

Selecione os serviços restritos

Nesta arquitetura de referência, o âmbito das APIs restritas é limitado, permitindo apenas as APIs necessárias para a Vertex AI. No entanto, como prática recomendada, recomendamos que restrinja todos os serviços quando criar um perímetro para mitigar o risco de exfiltração de dados dos serviços da Google Cloud .

Para selecionar os serviços a proteger no perímetro, faça o seguinte:

1. Clique em Serviços restritos.
2. No painel Serviços restritos, clique em Adicionar serviços.
3. Na caixa de diálogo Especificar serviços a restringir, selecione API Compute Engine.
4. Clique em Adicionar API Compute Engine.

Opcional: selecione os serviços acessíveis da VPC

A definição Serviços acessíveis por VPC limita o conjunto de serviços que são acessíveis a partir de pontos finais de rede no interior do seu perímetro de serviço. Nesta arquitetura de referência, mantemos a definição predefinida de Todos os serviços.

Opcional: selecione o nível de acesso

Se criou um nível de acesso CIDR corporativo numa secção anterior, faça o seguinte para permitir o acesso a recursos protegidos a partir do exterior do perímetro:

1. Clique em Níveis de acesso.

2. Clique na caixa Escolher nível de acesso.

   Também pode adicionar níveis de acesso depois de criar um perímetro.

3. Selecione a caixa de verificação correspondente ao nível de acesso. (Nesta arquitetura de referência, este é o corp-public-block.)

Configure a política de entrada

A comunicação bidirecional ocorre entre um projeto anfitrião e um projeto de serviço quando os recursos de computação são criados num determinado projeto de serviço, porque o projeto anfitrião é proprietário da rede VPC que contém a sub-rede partilhada com o projeto de serviço. Nesta secção, configura uma regra de entrada que permite que os três projetos de serviço acedam aos recursos de computação no projeto anfitrião para estes fluxos.

1. No menu do lado esquerdo, clique em Política de entrada.
2. Clique em Adicionar regra.
3. No painel Regra de entrada, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
      2. Fonte: projetos (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: todos os projetos
      2. Serviços: serviços selecionados
      3. Serviços selecionados: API Compute Engine
      4. Métodos: todos os métodos

Configure a política de saída

Nesta secção, configura duas regras de saída.

Primeira regra de saída

Uma vez que o projeto anfitrião é proprietário da sub-rede partilhada com ph-fm-svc-project-1, é necessária uma regra de saída para permitir que essa sub-rede aceda ao perímetro de ph-fm-svc-project-1 a partir do perímetro do projeto anfitrião. O nível de acesso corporativo permite a comunicação bidirecional necessária para a criação de instâncias de computação quando um utilizador final cria recursos de computação num projeto de serviço através do nível de acesso configurado.

1. No menu do lado esquerdo, clique em Política de saída.
2. Clique em Adicionar regra.
3. No painel Regra de saída, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
      2. Selecione Ativar origens de saída do nível de acesso.
      3. Níveis de acesso corp-public-block e gce-subnet-1.
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: projetos selecionados
      2. Adicionar projeto: ph-fm-svc-project-1
      3. Serviços: todos os serviços

Segunda regra de saída

Uma vez que o projeto anfitrião é proprietário das sub-redes partilhadas com ph-fm-svc-project-2 e ph-fm-svc-project-3, é necessária uma regra de saída para permitir que essas sub-redes acedam ao perímetro dos projetos de serviço a partir do perímetro do projeto anfitrião. O nível de acesso corporativo permite a comunicação bidirecional necessária para a criação de instâncias de computação quando um utilizador final cria recursos de computação num projeto de serviço através do nível de acesso configurado.

1. No menu do lado esquerdo, clique em Política de saída.
2. Clique em Adicionar regra.
3. No painel Regra de saída, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
      2. Selecione Ativar origens de saída do nível de acesso.
      3. Níveis de acesso corp-public-block, gce-subnet-2 e gce-subnet-3.
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: projetos selecionados
      2. Adicionar projeto: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Serviços: todos os serviços

Crie o perímetro

Depois de concluir os passos de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Passos de configuração para high-trust-svc-perimeter

Selecione o tipo de configuração para o novo perímetro

1. No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em Controlos de serviços da VPC.

   Aceda à segurança

2. Se lhe for pedido, selecione a sua organização, pasta ou projeto.

3. Na página VPC Service Controls, clique em Modo de teste.

4. Clique em Novo perímetro.

5. No separador Novo perímetro de serviço VPC, na caixa Nome do perímetro, introduza um nome para o perímetro, por exemplo, high-trust-svc-perimeter.

   Um nome de perímetro pode ter um comprimento máximo de 50 carateres, tem de começar por uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro é sensível a maiúsculas e minúsculas e tem de ser único numa política de acesso.

6. Aceite as predefinições do perímetro.

Selecione os recursos a proteger

1. Clique em Recursos a proteger.
2. Para adicionar projetos ou redes VPC que quer manter seguros dentro do perímetro, faça o seguinte:
   1. Clique em Adicionar recursos.
   2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que quer adicionar. Neste caso, ph-fm-svc-project-1.
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na secção Projetos.

Selecione os serviços restritos

Nesta arquitetura de referência, o âmbito das APIs restritas é limitado, o que permite apenas as APIs necessárias para o Gemini. No entanto, como prática recomendada, recomendamos que restrinja todos os serviços quando criar um perímetro para mitigar o risco de exfiltração de dados dos serviços da Google Cloud .

Para selecionar os serviços a proteger no perímetro, faça o seguinte:

1. Clique em Serviços restritos.
2. No painel Serviços restritos, clique em Adicionar serviços.
3. Na caixa de diálogo Especificar serviços a restringir, selecione API Compute Engine.
4. Clique em Adicionar API Compute Engine.
5. No painel Serviços restritos, clique em Adicionar serviços.
6. Na caixa de diálogo Especificar serviços a restringir, selecione API Vertex AI.
7. Clique em Adicionar API Vertex AI.

Opcional: selecione os serviços acessíveis da VPC

A definição Serviços acessíveis por VPC limita o conjunto de serviços que são acessíveis a partir de pontos finais de rede no interior do seu perímetro de serviço. Nesta arquitetura de referência, mantemos a definição predefinida de Todos os serviços.

Opcional: selecione o nível de acesso

Se criou um nível de acesso CIDR corporativo numa secção anterior, faça o seguinte para permitir o acesso a recursos protegidos a partir do exterior do perímetro:

1. Clique em Níveis de acesso.

2. Clique na caixa Escolher nível de acesso.

   Também pode adicionar níveis de acesso depois de criar um perímetro.

3. Selecione a caixa de verificação correspondente ao nível de acesso. (Nesta arquitetura de referência, este é o corp-public-block.)

Configure a política de entrada

Uma vez que o projeto anfitrião é proprietário da sub-rede partilhada com ph-fm-svc-project-1, é necessária uma regra de entrada para permitir que essa sub-rede aceda ao perímetro de ph-fm-svc-project-1 a partir do projeto anfitrião. Isto permite que as instâncias de computação do ph-fm-svc-project-1 acedam ao serviço gerido no ph-fm-svc-project-1.

1. No menu do lado esquerdo, clique em Política de entrada.
2. Clique em Adicionar regra.
3. No painel Regra de entrada, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
      2. Fonte: nível de acesso
      3. Nível de acesso: gce-subnet-1
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: todos os projetos
      2. Serviços: todos os serviços

Configure a política de saída

Uma vez que o projeto anfitrião é proprietário da sub-rede partilhada com ph-fm-svc-project-1, é necessária uma regra de saída para permitir a comunicação bidirecional que ocorre entre o projeto de serviço e o respetivo projeto anfitrião quando os recursos de computação são criados no projeto de serviço.

1. No menu do lado esquerdo, clique em Política de saída.
2. Clique em Adicionar regra.
3. No painel Regra de saída, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: projetos selecionados
      2. Adicionar projeto: aiml-host-project
      3. Serviços: serviços selecionados
      4. Serviços selecionados: API Compute Engine
      5. Métodos: todos os métodos

Crie o perímetro

Depois de concluir os passos de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Passos de configuração para low-trust-svc-perimeter

Selecione o tipo de configuração para o novo perímetro

1. No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em Controlos de serviços da VPC.

   Aceda à segurança

2. Se lhe for pedido, selecione a sua organização, pasta ou projeto.

3. Na página VPC Service Controls, clique em Modo de teste.

4. Clique em Novo perímetro.

5. No separador Novo perímetro de serviço VPC, na caixa Nome do perímetro, introduza um nome para o perímetro, por exemplo, low-trust-svc-perimeter.

   Um nome de perímetro pode ter um comprimento máximo de 50 carateres, tem de começar por uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro é sensível a maiúsculas e minúsculas e tem de ser único numa política de acesso.

6. Aceite as predefinições do perímetro.

Selecione os recursos a proteger

1. Clique em Recursos a proteger.
2. Para adicionar projetos ou redes VPC que quer manter seguros dentro do perímetro, faça o seguinte:
   1. Clique em Adicionar recursos.
   2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que quer adicionar. Para esta arquitetura de referência, escolha o seguinte:
         • ph-fm-svc-project-2
         • ph-fm-svc-project-3
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na secção Projetos.

Selecione os serviços restritos

Nesta arquitetura de referência, o âmbito das APIs restritas é limitado, o que permite apenas as APIs necessárias para o Gemini. No entanto, como prática recomendada, recomendamos que restrinja todos os serviços quando criar um perímetro para mitigar o risco de exfiltração de dados dos serviços da Google Cloud .

Para selecionar os serviços a proteger no perímetro, faça o seguinte:

1. Clique em Serviços restritos.
2. No painel Serviços restritos, clique em Adicionar serviços.
3. Na caixa de diálogo Especificar serviços a restringir, selecione API Compute Engine.
4. Clique em Adicionar API Compute Engine.
5. No painel Serviços restritos, clique em Adicionar serviços.
6. Na caixa de diálogo Especificar serviços a restringir, selecione API Vertex AI.
7. Clique em Adicionar API Vertex AI.

Opcional: selecione os serviços acessíveis da VPC

A definição Serviços acessíveis por VPC limita o conjunto de serviços que são acessíveis a partir de pontos finais de rede no interior do seu perímetro de serviço. Nesta arquitetura de referência, mantemos a definição predefinida de Todos os serviços.

Opcional: selecione o nível de acesso

Se criou um nível de acesso CIDR corporativo numa secção anterior, faça o seguinte para permitir o acesso a recursos protegidos a partir do exterior do perímetro:

1. Clique em Níveis de acesso.

2. Clique na caixa Escolher nível de acesso.

   Também pode adicionar níveis de acesso depois de criar um perímetro.

3. Selecione a caixa de verificação correspondente ao nível de acesso. (Nesta arquitetura de referência, este é o corp-public-block.)

Configure a política de entrada

Uma vez que o projeto anfitrião é proprietário da sub-rede partilhada com ph-fm-svc-project-2 e ph-fm-svc-project-3, é necessária uma regra de entrada para conceder a essas sub-redes acesso ao perímetro do projeto de serviço a partir do projeto anfitrião. Isto permite que as instâncias de computação destes projetos de serviço acedam ao serviço gerido em ph-fm-svc-project-2 e ph-fm-svc-project-3.

1. No menu do lado esquerdo, clique em Política de entrada.
2. Clique em Adicionar regra.
3. No painel Regra de entrada, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
      2. Fonte: nível de acesso
      3. Nível de acesso: gce-subnet-2, gce-subnet-3
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: todos os projetos
      2. Serviços: todos os serviços

Configure a política de saída

Uma vez que o projeto anfitrião é proprietário da sub-rede partilhada com ph-fm-svc-project-２ e ph-fm-svc-project-3, é necessária uma regra de saída para permitir a comunicação bidirecional que ocorre entre os projetos de serviço e o respetivo projeto anfitrião quando são criados recursos de computação nos projetos de serviço.

1. No menu do lado esquerdo, clique em Política de saída.
2. Clique em Adicionar regra.
3. No painel Regra de saída, faça o seguinte:
   1. Para atributos DE, selecione os seguintes atributos DE do cliente da API:
      1. Identidade: qualquer identidade
   2. Para atributos TO, selecione os seguintes atributos TO de Google Cloud serviços e recursos:
      1. Projeto: projetos selecionados
      2. Adicionar projeto: aiml-host-project
      3. Serviços: serviços selecionados
      4. Serviços selecionados: API Compute Engine
      5. Métodos: todos os métodos

Crie o perímetro

Depois de concluir os passos de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Configure a rede

Use um ponto final do Private Service Connect para aceder às APIs Google

O Private Service Connect para aceder às APIs Google é uma alternativa à utilização do acesso privado à Google ou dos nomes de domínio públicos para APIs Google. Neste caso, o produtor é a Google.

A utilização do Private Service Connect permite-lhe fazer o seguinte:

• Crie um ou mais endereços IP internos para aceder às APIs Google para diferentes exemplos de utilização.
• Direcione o seu tráfego no local para endereços IP e regiões específicos quando aceder às APIs Google.
• Crie um nome DNS de ponto final personalizado a usar para resolver as APIs Google.

Na arquitetura de referência, é implementado um ponto final da API Google do Private Service Connect denominado restricted com o endereço IP 192.168.10.2 com os VPC Service Controls de destino, usado como um IP virtual (VIP) para aceder a serviços restritos configurados no perímetro dos VPC Service Controls. O ponto final do Private Service Connect é implementado no projeto anfitrião, aiml-host-project.

Aceda ao Gemini Pro a partir de instâncias do Compute Engine

Quando cria um ponto final do Private Service Connect, o Service Directory cria registos DNS numa p.googleapis.comzona privada. Os registos apontam para o endereço IP do ponto final e usam o formato SERVICE-ENDPOINT.p.googleapis.com, que equivale ao nome de domínio totalmente qualificado usado para aceder à API Vertex AI: LOCATION-aiplatform-restricted.p.googleapis.com.

Valide a configuração de rede

A partir das instâncias do Compute Engine implementadas nos projetos de serviço, é usado o seguinte procedimento para atualizar a API Vertex AI de modo a usar o nome de domínio totalmente qualificado personalizado e realizar a validação.

1. Inicialize as variáveis de ambiente do Python da seguinte forma:

   PROJECT_ID="ph-fm-svc-project-1"
   LOCATION_ID="us-central1"
   API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
   MODEL_ID="gemini-2.0-flash-exp"
   GENERATE_CONTENT_API="streamGenerateContent"
   

2. Com um editor de texto, crie um ficheiro request.json com o seguinte JSON:

   {
     "contents": [
       {
         "role": "user",
         "parts": [
           {
             "text": "what weight more 1kg feathers vs 1kg stones"
           }
         ]
       }
     ],
     "generationConfig": {
       "temperature": 1,
       "maxOutputTokens": 8192,
       "topP": 0.95,
       "seed": 0
     },
     "safetySettings": [
       {
         "category": "HARM_CATEGORY_HATE_SPEECH",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
         "threshold": "OFF"
       },
       {
         "category": "HARM_CATEGORY_HARASSMENT",
         "threshold": "OFF"
       }
     ]
   }
   

3. Faça o seguinte pedido cURL à API Gemini do Vertex AI:

   curl \
   -X POST \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
   

Valide o seu perímetro no modo de teste

Nesta arquitetura de referência, o perímetro de serviço está configurado no modo de teste para que possa testar o efeito da política de acesso sem aplicação. Isto significa que pode ver como as suas políticas afetariam o seu ambiente se estivessem ativas, mas sem o risco de interromper o tráfego legítimo.

Para saber como validar o seu perímetro no modo de teste, veja o vídeo do YouTube sobre o registo de teste do VPC Service Controls.

Depois de validar o seu perímetro no modo de teste, mude-o para o modo aplicado.