Permitir o acesso a recursos protegidos de um endpoint particular dentro de um perímetro do VPC Service Controls

Em arquiteturas de VPC compartilhada, a rede do projeto host é compartilhada com o projeto de serviço. Até recentemente, isso impedia a separação desses projetos em diferentes perímetros. Com a introdução de regras de entrada e saída baseadas em endereços IP particulares, os projetos de host e de serviço agora podem residir em perímetros separados, mantendo o acesso controlado por essas regras.

Arquitetura de referência

Os atributos a seguir são usados na política de serviço:

  • Perímetros do VPC Service Controls
  • Acessar endereços IP particulares do Access Context Manager
  • Regras de entrada e saída

No componente de rede, essa arquitetura usa um endpoint do Private Service Connect para acessar as APIs do Google.

Diagrama arquitetônico do uso do VPC Service Controls para criar um perímetro de serviço.

Nesta arquitetura de referência, as regras de entrada e saída e os endereços IP particulares são usados para controlar o acesso entre instâncias do Compute Engine e a API Vertex AI para os seguintes perímetros de serviço e projetos:

Perímetro Projetos dentro do perímetro
aiml-host-perimeter aiml-host-project
high-trust-svc-perimeter ph-fm-svc-project-1
low-trust-svc-perimeter ph-fm-svc-project-2, ph-fm-svc-project-3

O acesso à API Vertex AI nas instâncias do Compute Engine de cada projeto de serviço é controlado pelas regras de entrada e saída do VPC Service Controls. Essas regras usam os níveis de acesso do Access Context Manager configurados com endereços IP particulares para permitir que as sub-redes compartilhadas com cada projeto de serviço acessem os respectivos perímetros.

Opcional: criar um nível de acesso para o tráfego público da organização

Se os usuários finais precisarem de acesso à Vertex AI pelo console do Google Cloud, siga as instruções desta seção para criar um nível de acesso para uso no VPC Service Controls. No entanto, se o acesso às APIs for estritamente programático de fontes particulares (como no local com o Acesso privado do Google para ambientes locais ou estações de trabalho do Cloud), o nível de acesso não será necessário.

Nesta arquitetura de referência, usamos um intervalo CIDR, corp-public-block, para permitir que o tráfego de funcionários da organização acesse o console do Google Cloud.

O Access Context Manager permite que Google Cloud os administradores da organização definam um controle de acesso detalhado e baseado em atributos para recursos no Google Cloud.

Os níveis de acesso descrevem os requisitos para que as solicitações sejam atendidas. Por exemplo:

  • Tipo de dispositivo e sistema operacional (requer uma licença do Chrome Enterprise Premium)
  • Endereço IP
  • Geolocalizações
  • Identidade do usuário

Se esta for a primeira vez que a organização usa o Access Context Manager, os administradores precisam definir uma política de acesso, que é um contêiner para níveis de acesso e perímetros de serviço. Para fazer isso:

  1. No seletor de projetos na parte de cima do console do Google Cloud, clique na guia All e selecione sua organização.
  2. Crie um nível de acesso básico seguindo as instruções na página Criar um nível de acesso básico. Especifique as seguintes opções:
    1. Em Criar condições em, escolha Modo básico.
    2. No campo Título do nível de acesso, insira corp-public-block.
    3. Na seção Condições, para a opção Quando a condição for atendida, retorne, selecione VERDADEIRO.
    4. Em Sub-redes de IP, escolha IP público.
    5. Para o intervalo de endereços IP, especifique o intervalo CIDR externo que exige acesso ao perímetro do VPC Service Controls.

Criar o perímetro de serviço do VPC Service Controls

Ao criar um perímetro de serviço, uma maneira de permitir o acesso a serviços protegidos de fora do perímetro é criando níveis de acesso (usando endereços IP, no nosso exemplo). Nesta arquitetura de referência, vários perímetros de serviços são criados usando regras de entrada e saída para controlar o acesso à API Vertex AI e à comunicação da API Compute Engine da seguinte maneira:

  • A sub-rede para recursos de computação pertencentes ao projeto de serviço ph-fm-svc-project-1 tem acesso permitido à API Vertex AI e à API Compute Engine em ph-fm-svc-project-1 do aiml-host-project.
  • A sub-rede para recursos de computação pertencentes aos projetos de serviço ph-fm-svc-project-2 e ph-fm-svc-project-3 tem acesso permitido à API Vertex AI e à API Compute Engine nos projetos ph-fm-svc-project-2 e ph-fm-svc-project-3 do aiml-host-project.

Cada projeto de serviço tem permissão de acesso à API Compute Engine no projeto host, porque os fluxos bidirecionais ocorrem entre o projeto host e os projetos de serviço quando os recursos de computação são criados em um determinado projeto de serviço.

Nesta arquitetura de referência, um nível de acesso para cada sub-rede é criado para usar regras de entrada e saída para permitir os fluxos necessários entre o perímetro do projeto host e cada perímetro do projeto de serviço.

Criar nível de acesso gce-subnet-1

  1. No seletor de projetos na parte de cima do console do Google Cloud, clique na guia All e selecione sua organização.
  2. Crie um nível de acesso básico seguindo as instruções na página Criar um nível de acesso básico. Especifique as seguintes opções:
    1. Em Criar condições em, escolha Modo básico.
    2. No campo Título do nível de acesso, insira gce-subnet-1.
    3. Na seção Condições, para a opção Quando a condição for atendida, retorne, selecione VERDADEIRO.
    4. Em Sub-redes de IP, escolha IP particular.
    5. Selecione Redes VPC, identifique seu projeto e selecione o nome da VPC.
    6. Para as Sub-redes de IP, selecione o intervalo CIDR que representa a sub-rede compartilhada pelo projeto host com ph-fm-svc-project-1.

Criar nível de acesso gce-subnet-2

  1. No seletor de projetos na parte de cima do console do Google Cloud, clique na guia All e selecione sua organização.
  2. Crie um nível de acesso básico seguindo as instruções na página Criar um nível de acesso básico. Especifique as seguintes opções:
    1. Em Criar condições em, escolha Modo básico.
    2. No campo Título do nível de acesso, insira gce-subnet-2.
    3. Na seção Condições, para a opção Quando a condição for atendida, retorne, selecione VERDADEIRO.
    4. Em Sub-redes de IP, escolha IP particular.
    5. Selecione Redes VPC, identifique seu projeto e selecione o nome da VPC.
    6. Para as Sub-redes de IP, selecione o intervalo CIDR que representa a sub-rede compartilhada pelo projeto host com ph-fm-svc-project-2.

Criar nível de acesso gce-subnet-3

  1. No seletor de projetos na parte de cima do console do Google Cloud, clique na guia All e selecione sua organização.
  2. Crie um nível de acesso básico seguindo as instruções na página Criar um nível de acesso básico. Especifique as seguintes opções:
    1. Em Criar condições em, escolha Modo básico.
    2. No campo Título do nível de acesso, insira gce-subnet-3.
    3. Na seção Condições, para a opção Quando a condição for atendida, retorne, selecione VERDADEIRO.
    4. Em Sub-redes de IP, escolha IP particular.
    5. Selecione Redes VPC, identifique seu projeto e selecione o nome da VPC.
    6. Para as Sub-redes de IP, selecione o intervalo CIDR que representa a sub-rede compartilhada pelo projeto host com ph-fm-svc-project-3.

Etapas de configuração para aiml-host-perimeter

Selecione o tipo de configuração do novo perímetro

Nesta seção, você vai criar um perímetro de serviço do VPC Service Controls (aiml-host-perimeter) no modo de simulação. No modo de simulação, o perímetro registra violações como se os perímetros fossem aplicados, mas não impede o acesso a serviços restritos. O uso do modo de teste antes de mudar para o modo obrigatório é uma prática recomendada.

  1. No menu de navegação do console do Google Cloud, clique em Segurança e em VPC Service Controls.

    Acessar a Segurança.

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, clique em Modo de simulação.

  4. Clique em Novo perímetro.

  5. Na guia Novo perímetro de serviço da VPC, na caixa Nome do perímetro, digite um nome para o perímetro, por exemplo, aiml-host-perimeter.

    O nome do perímetro pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro diferencia maiúsculas de minúsculas e precisa ser exclusivo em uma política de acesso.

  6. Aceite as configurações padrão para o perímetro.

Selecionar os recursos a serem protegidos

  1. Clique em Recursos a serem protegidos.
  2. Para adicionar projetos ou redes VPC que você quer proteger no perímetro, faça o seguinte:
    1. Clique em Adicionar recursos.
    2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que você quer adicionar, neste caso aiml-host-project.
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projects.

Selecione os serviços restritos

Nesta arquitetura de referência, o escopo das APIs restritas é limitado, permitindo apenas as APIs necessárias para a Vertex AI. No entanto, como prática recomendada, recomendamos que você restrinja todos os serviços ao criar um perímetro para reduzir o risco de exfiltração de dados dos serviços Google Cloud .

Para selecionar os serviços que você quer proteger no perímetro, faça o seguinte:

  1. Clique em Serviços restritos.
  2. No painel Serviços restritos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Compute Engine.
  4. Clique em Adicionar a API Compute Engine.

Opcional: selecione os serviços acessíveis pela VPC

A configuração Serviços acessíveis por VPC limita o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. Nesta arquitetura de referência, vamos manter a configuração padrão de Todos os serviços.

Opcional: selecione o nível de acesso

Se você criou um nível de acesso CIDR corporativo em uma seção anterior, faça o seguinte para permitir o acesso a recursos protegidos de fora do perímetro:

  1. Clique em Níveis de acesso.
  2. Clique na caixa Escolher nível de acesso.

    Também é possível adicionar níveis de acesso depois da criação de um perímetro.

  3. Marque a caixa de seleção correspondente ao nível de acesso. (Nesta arquitetura de referência, é corp-public-block.)

Configurar a política de entrada

A comunicação bidirecional acontece entre um projeto host e um projeto de serviço quando os recursos de computação são criados em um determinado projeto de serviço, porque o projeto host é proprietário da rede VPC que contém a sub-rede compartilhada com o projeto de serviço. Nesta seção, você configura uma regra de entrada que permite que todos os três projetos de serviço acessem recursos de computação no projeto host para esses fluxos.

  1. No menu à esquerda, clique em Política de entrada.
  2. Clique em Adicionar regra.
  3. No painel Regra de entrada, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
      2. Origem: projetos (ph-fm-svc-project-1, ph-fm-svc-project-2, ph-fm-svc-project-3)
    2. Para atributos TO, selecione os seguintes atributos TO de serviços e recursos Google Cloud:
      1. Projeto: todos os projetos
      2. Serviços: serviços selecionados
      3. Serviços selecionados: API Compute Engine
      4. Métodos: todos os métodos

Configurar a política de saída

Nesta seção, você configura duas regras de saída.

Primeira regra de saída

Como o projeto host é proprietário da sub-rede compartilhada com ph-fm-svc-project-1, uma regra de saída é necessária para permitir que essa sub-rede acesse o perímetro de ph-fm-svc-project-1 do projeto host. O nível de acesso corporativo permite a comunicação bidirecional necessária para a criação de instâncias de computação quando um usuário final cria recursos de computação em um projeto de serviço usando o nível de acesso configurado.

  1. No menu à esquerda, clique em Política de saída.
  2. Clique em Adicionar regra.
  3. No painel Regra de saída, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
      2. Selecione Ativar origens de saída no nível de acesso.
      3. Níveis de acesso corp-public-block e gce-subnet-1.
    2. Para atributos TO, selecione os seguintes atributos TO dos serviços e recursos Google Cloud:
      1. Project: projetos selecionados
      2. Adicionar projeto: ph-fm-svc-project-1
      3. Serviços: todos os serviços

Segunda regra de saída

Como o projeto host é proprietário das sub-redes compartilhadas com ph-fm-svc-project-2 e ph-fm-svc-project-3, uma regra de saída é necessária para permitir que essas sub-redes acessem o perímetro dos projetos de serviço do perímetro do projeto host. O nível de acesso corporativo permite a comunicação bidirecional necessária para a criação de instâncias de computação quando um usuário final cria recursos de computação em um projeto de serviço usando o nível de acesso configurado.

  1. No menu à esquerda, clique em Política de saída.
  2. Clique em Adicionar regra.
  3. No painel Regra de saída, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
      2. Selecione Ativar origens de saída no nível de acesso.
      3. Níveis de acesso: corp-public-block, gce-subnet-2 e gce-subnet-3.
    2. Para atributos TO, selecione os seguintes atributos TO dos serviços e recursos Google Cloud:
      1. Project: projetos selecionados
      2. Adicionar projeto: ph-fm-svc-project-2, ph-fm-svc-project-3
      3. Serviços: todos os serviços

Criar o perímetro

Depois de concluir as etapas de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Etapas de configuração para high-trust-svc-perimeter

Selecione o tipo de configuração do novo perímetro

  1. No menu de navegação do console do Google Cloud, clique em Segurança e em VPC Service Controls.

    Acessar a Segurança.

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, clique em Modo de simulação.

  4. Clique em Novo perímetro.

  5. Na guia Novo perímetro de serviço da VPC, na caixa Nome do perímetro, digite um nome para o perímetro, por exemplo, high-trust-svc-perimeter.

    O nome do perímetro pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro diferencia maiúsculas de minúsculas e precisa ser exclusivo em uma política de acesso.

  6. Aceite as configurações padrão para o perímetro.

Selecionar os recursos a serem protegidos

  1. Clique em Recursos a serem protegidos.
  2. Para adicionar projetos ou redes VPC que você quer proteger no perímetro, faça o seguinte:
    1. Clique em Adicionar recursos.
    2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que você quer adicionar, neste caso ph-fm-svc-project-1.
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projects.

Selecione os serviços restritos

Nesta arquitetura de referência, o escopo das APIs restritas é limitado, permitindo apenas as APIs necessárias para a Gemini. No entanto, como prática recomendada, recomendamos que você restrinja todos os serviços ao criar um perímetro para reduzir o risco de exfiltração de dados dos serviços Google Cloud .

Para selecionar os serviços que você quer proteger no perímetro, faça o seguinte:

  1. Clique em Serviços restritos.
  2. No painel Serviços restritos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Compute Engine.
  4. Clique em Adicionar a API Compute Engine.
  5. No painel Serviços restritos, clique em Adicionar serviços.
  6. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Vertex AI.
  7. Clique em Adicionar a API Vertex AI.

Opcional: selecione os serviços acessíveis pela VPC

A configuração Serviços acessíveis por VPC limita o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. Nesta arquitetura de referência, vamos manter a configuração padrão de Todos os serviços.

Opcional: selecione o nível de acesso

Se você criou um nível de acesso CIDR corporativo em uma seção anterior, faça o seguinte para permitir o acesso a recursos protegidos de fora do perímetro:

  1. Clique em Níveis de acesso.
  2. Clique na caixa Escolher nível de acesso.

    Também é possível adicionar níveis de acesso depois da criação de um perímetro.

  3. Marque a caixa de seleção correspondente ao nível de acesso. (Nesta arquitetura de referência, é corp-public-block.)

Configurar a política de entrada

Como o projeto host é proprietário da sub-rede compartilhada com ph-fm-svc-project-1, uma regra de entrada é necessária para permitir que essa sub-rede acesse o perímetro de ph-fm-svc-project-1 do projeto host. Isso permite que as instâncias de computação do ph-fm-svc-project-1 acessem o serviço gerenciado no ph-fm-svc-project-1.

  1. No menu à esquerda, clique em Política de entrada.
  2. Clique em Adicionar regra.
  3. No painel Regra de entrada, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
      2. Origem: nível de acesso
      3. Nível de acesso: gce-subnet-1
    2. Para atributos TO, selecione os seguintes atributos TO de serviços e recursos Google Cloud:
      1. Projeto: todos os projetos
      2. Serviços: todos os serviços

Configurar a política de saída

Como o projeto host é proprietário da sub-rede compartilhada com ph-fm-svc-project-1, uma regra de saída é necessária para permitir a comunicação bidirecional que ocorre entre o projeto de serviço e o projeto host quando os recursos de computação são criados no projeto de serviço.

  1. No menu à esquerda, clique em Política de saída.
  2. Clique em Adicionar regra.
  3. No painel Regra de saída, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
    2. Para atributos TO, selecione os seguintes atributos TO dos serviços e recursos Google Cloud:
      1. Project: projetos selecionados
      2. Adicionar projeto: aiml-host-project
      3. Serviços: serviços selecionados
      4. Serviços selecionados: API Compute Engine
      5. Métodos: todos os métodos

Criar o perímetro

Depois de concluir as etapas de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Etapas de configuração para low-trust-svc-perimeter

Selecione o tipo de configuração do novo perímetro

  1. No menu de navegação do console do Google Cloud, clique em Segurança e em VPC Service Controls.

    Acessar a Segurança.

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, clique em Modo de simulação.

  4. Clique em Novo perímetro.

  5. Na guia Novo perímetro de serviço da VPC, na caixa Nome do perímetro, digite um nome para o perímetro, por exemplo, low-trust-svc-perimeter.

    O nome do perímetro pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (a-z, A-Z), números (0-9) e sublinhados (_). O nome do perímetro diferencia maiúsculas de minúsculas e precisa ser exclusivo em uma política de acesso.

  6. Aceite as configurações padrão para o perímetro.

Selecionar os recursos a serem protegidos

  1. Clique em Recursos a serem protegidos.
  2. Para adicionar projetos ou redes VPC que você quer proteger no perímetro, faça o seguinte:
    1. Clique em Adicionar recursos.
    2. Para adicionar projetos ao perímetro, no painel Adicionar recursos, clique em Adicionar projeto.
      1. Selecione o projeto que você quer adicionar. Para esta arquitetura de referência, escolha o seguinte:
        • ph-fm-svc-project-2
        • ph-fm-svc-project-3
      2. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projects.

Selecione os serviços restritos

Nesta arquitetura de referência, o escopo das APIs restritas é limitado, permitindo apenas as APIs necessárias para a Gemini. No entanto, como prática recomendada, recomendamos que você restrinja todos os serviços ao criar um perímetro para reduzir o risco de exfiltração de dados dos serviços Google Cloud .

Para selecionar os serviços que você quer proteger no perímetro, faça o seguinte:

  1. Clique em Serviços restritos.
  2. No painel Serviços restritos, clique em Adicionar serviços.
  3. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Compute Engine.
  4. Clique em Adicionar a API Compute Engine.
  5. No painel Serviços restritos, clique em Adicionar serviços.
  6. Na caixa de diálogo Especificar serviços a serem restritos, selecione a API Vertex AI.
  7. Clique em Adicionar a API Vertex AI.

Opcional: selecione os serviços acessíveis pela VPC

A configuração Serviços acessíveis por VPC limita o conjunto de serviços acessíveis de endpoints de rede dentro do perímetro de serviço. Nesta arquitetura de referência, vamos manter a configuração padrão de Todos os serviços.

Opcional: selecione o nível de acesso

Se você criou um nível de acesso CIDR corporativo em uma seção anterior, faça o seguinte para permitir o acesso a recursos protegidos de fora do perímetro:

  1. Clique em Níveis de acesso.
  2. Clique na caixa Escolher nível de acesso.

    Também é possível adicionar níveis de acesso depois da criação de um perímetro.

  3. Marque a caixa de seleção correspondente ao nível de acesso. (Nesta arquitetura de referência, é corp-public-block.)

Configurar a política de entrada

Como o projeto host é proprietário da sub-rede compartilhada com ph-fm-svc-project-2 e ph-fm-svc-project-3, uma regra de entrada é necessária para conceder a essas sub-redes acesso ao perímetro do projeto de serviço do projeto host. Isso permite que as instâncias de computação desses projetos de serviço acessem o serviço gerenciado em ph-fm-svc-project-2 e ph-fm-svc-project-3.

  1. No menu à esquerda, clique em Política de entrada.
  2. Clique em Adicionar regra.
  3. No painel Regra de entrada, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
      2. Origem: nível de acesso
      3. Nível de acesso: gce-subnet-2, gce-subnet-3
    2. Para atributos TO, selecione os seguintes atributos TO dos serviços e recursos Google Cloud:
      1. Projeto: todos os projetos
      2. Serviços: todos os serviços

Configurar a política de saída

Como o projeto host é proprietário da sub-rede compartilhada com ph-fm-svc-project-2 e ph-fm-svc-project-3, uma regra de saída é necessária para permitir a comunicação bidirecional que ocorre entre os projetos de serviço e o projeto host quando os recursos de computação são criados nos projetos de serviço.

  1. No menu à esquerda, clique em Política de saída.
  2. Clique em Adicionar regra.
  3. No painel Regra de saída, faça o seguinte:
    1. Para atributos FROM, selecione os seguintes atributos FROM do cliente da API:
      1. Identidade: qualquer identidade
    2. Para atributos TO, selecione os seguintes atributos TO dos serviços e recursos Google Cloud:
      1. Project: projetos selecionados
      2. Adicionar projeto: aiml-host-project
      3. Serviços: serviços selecionados
      4. Serviços selecionados: API Compute Engine
      5. Métodos: todos os métodos

Criar o perímetro

Depois de concluir as etapas de configuração anteriores, crie o perímetro clicando em Criar perímetro.

Configurar a rede

Usar um endpoint do Private Service Connect para acessar APIs do Google

O Private Service Connect para acessar APIs do Google é uma alternativa ao uso do Acesso particular do Google ou dos nomes de domínio público para APIs do Google. Nesse caso, o produtor é o Google.

Com o Private Service Connect, você pode fazer o seguinte:

  • Crie um ou mais endereços IP internos para acessar as APIs do Google em diferentes casos de uso.
  • Direcione o tráfego local para regiões e endereços IP específicos ao acessar as APIs do Google.
  • Crie um nome de DNS de endpoint personalizado para ser usado na resolução das APIs do Google.

Na arquitetura de referência, um endpoint da API do Google do Private Service Connect chamado restricted com endereço IP 192.168.10.2 é implantado com os VPC Service Controls de destino, usados como um IP virtual (VIP) para acessar serviços restritos configurados no perímetro do VPC Service Controls. O endpoint do Private Service Connect é implantado no projeto host, aiml-host-project.

Acessar o Gemini Pro em instâncias do Compute Engine

Quando você cria um endpoint do Private Service Connect, o Diretório de serviços cria registros DNS em uma zona particular p.googleapis.com. Os registros apontam para o endereço IP do endpoint e usam o formato SERVICE-ENDPOINT.p.googleapis.com, que equivale ao nome de domínio totalmente qualificado usado para acessar a API Vertex AI: LOCATION-aiplatform-restricted.p.googleapis.com.

Validar a configuração de rede

Nas instâncias do Compute Engine implantadas nos projetos de serviço, o procedimento a seguir é usado para atualizar a API Vertex AI para usar o nome de domínio totalmente qualificado personalizado e realizar a validação.

  1. Inicie as variáveis de ambiente do Python da seguinte maneira:

    PROJECT_ID="ph-fm-svc-project-1"
    LOCATION_ID="us-central1"
    API_ENDPOINT="us-central1-aiplatform-restricted.p.googleapis.com"
    MODEL_ID="gemini-2.0-flash-exp"
    GENERATE_CONTENT_API="streamGenerateContent"
    
  2. Usando um editor de texto, crie um arquivo request.json que contenha o seguinte JSON:

    {
      "contents": [
        {
          "role": "user",
          "parts": [
            {
              "text": "what weight more 1kg feathers vs 1kg stones"
            }
          ]
        }
      ],
      "generationConfig": {
        "temperature": 1,
        "maxOutputTokens": 8192,
        "topP": 0.95,
        "seed": 0
      },
      "safetySettings": [
        {
          "category": "HARM_CATEGORY_HATE_SPEECH",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_DANGEROUS_CONTENT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_SEXUALLY_EXPLICIT",
          "threshold": "OFF"
        },
        {
          "category": "HARM_CATEGORY_HARASSMENT",
          "threshold": "OFF"
        }
      ]
    }
    
  3. Faça a seguinte solicitação cURL para a API Gemini da Vertex AI:

    curl \
    -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://${API_ENDPOINT}/v1/projects/${PROJECT_ID}/locations/${LOCATION_ID}/publishers/google/models/${MODEL_ID}:${GENERATE_CONTENT_API}" -d '@request.json'
    

Validar seu perímetro no modo de simulação

Nesta arquitetura de referência, o perímetro de serviço é configurado no modo de simulação para que você possa testar o efeito da política de acesso sem a aplicação. Isso significa que você pode conferir como suas políticas afetariam seu ambiente se estivessem ativas, mas sem o risco de interromper o tráfego legítimo.

Para saber como validar seu perímetro no modo de simulação, assista o vídeo do YouTube VPC Service Controls dry run logging.

Depois de validar o perímetro no modo de simulação, mude para o modo obrigatório.