Настройка элементов управления услугами VPC для Gemini

В этом документе показано, как настроить VPC Service Controls для поддержки Gemini , ИИ-совместимого коллаборатора в Google Cloud. Чтобы завершить эту настройку, выполните следующие действия:

  1. Обновите периметр обслуживания вашей организации, включив Gemini. В этом документе предполагается, что у вас уже есть периметр обслуживания на уровне организации. Для получения дополнительной информации о периметрах обслуживания см. Подробности и конфигурация периметра обслуживания .

  2. В проектах, где вы включили доступ к Gemini, настройте сети VPC для блокировки исходящего трафика, за исключением трафика в ограниченный диапазон VIP.

Прежде чем начать

  1. Убедитесь, что Gemini Code Assist настроен для вашей учетной записи пользователя и проекта Google Cloud.

  2. Убедитесь, что у вас есть необходимые роли управления идентификацией и доступом для настройки и администрирования элементов управления службами VPC.

  3. Убедитесь, что у вас есть периметр обслуживания на уровне организации, который вы можете использовать для настройки Gemini. Если у вас нет периметра обслуживания на этом уровне, вы можете создать его .

Добавьте Gemini в свой периметр обслуживания

Чтобы использовать VPC Service Controls с Gemini, вы добавляете Gemini в периметр сервиса на уровне организации. Периметр сервиса должен включать все сервисы, которые вы используете с Gemini, и другие сервисы Google Cloud, которые вы хотите защитить.

Чтобы добавить Gemini в свой периметр обслуживания, выполните следующие действия:

  1. В консоли API перейдите на страницу управления службой VPC .

    Перейти к управлению службой VPC

  2. Выберите свою организацию.

  3. На странице управления службой VPC щелкните имя вашего периметра.

  4. Нажмите «Добавить ресурсы» и выполните следующие действия:

    1. Для каждого проекта, в котором вы включили Gemini, на панели «Добавить ресурсы» нажмите «Добавить проект» , а затем выполните следующие действия:

    2. В диалоговом окне «Добавить проекты» выберите проекты, которые вы хотите добавить.

      Если вы используете Shared VPC , добавьте хост-проект и сервисные проекты в периметр сервиса.

    3. Нажмите Добавить выбранные ресурсы . Добавленные проекты появятся в разделе Проекты .

    4. Для каждой сети VPC в ваших проектах на панели «Добавить ресурсы» нажмите «Добавить сеть VPC» , а затем выполните следующие действия:

    5. В списке проектов выберите проект, содержащий сеть VPC.

    6. В диалоговом окне «Добавить ресурсы» установите флажок сети VPC.

    7. Нажмите Добавить выбранные ресурсы . Добавленная сеть появится в разделе сетей VPC .

  5. Нажмите «Ограниченные службы» и выполните следующие действия:

    1. На панели «Ограниченные службы» нажмите «Добавить службы» .

    2. В диалоговом окне «Укажите службы для ограничения» выберите Gemini для Google Cloud API и Gemini Code Assist API в качестве служб, которые вы хотите защитить в пределах периметра.

    3. Если вы планируете использовать настройку кода , выберите также Developer Connect API . Для получения дополнительной информации о Developer Connect см. Обзор Developer Connect .

      Чтобы узнать, как использовать пользовательские ограничения службы политики организации для ограничения определенных операций на developerconnect.googleapis.com/Connection и developerconnect.googleapis.com/GitRepositoryLink , см. раздел Создание пользовательских политик организации .

    1. Нажмите Добавить n услуг , где n — количество услуг, выбранных вами на предыдущем шаге.

  6. Необязательно: если вашим разработчикам необходимо использовать Gemini в пределах периметра плагина Cloud Code в своих IDE, вам необходимо настроить политику входящего трафика .

    Включение VPC Service Controls для Gemini предотвращает любой доступ из-за периметра, включая запуск расширений Gemini Code Assist IDE с машин, не входящих в периметр, например, с ноутбуков компании. Поэтому эти шаги необходимы, если вы хотите использовать Gemini с плагином Gemini Code Assist.

    1. Нажмите Политика входящего трафика .

    2. На панели «Правила входящего трафика» нажмите «Добавить правило» .

    3. В атрибутах From API client укажите источники из-за периметра, которым требуется доступ. В качестве источников можно указать проекты, уровни доступа и сети VPC.

    4. В поле Атрибуты ресурсов/сервисов Google Cloud укажите имя сервиса Gemini и API Gemini Code Assist.

    Список атрибутов правил входящего трафика см. в Справочнике правил входящего трафика .

  7. Необязательно: если в вашей организации используется Access Context Manager и вы хотите предоставить разработчикам доступ к защищенным ресурсам из-за периметра, то установите уровни доступа:

    1. Нажмите Уровни доступа .

    2. На панели «Политика входящего трафика: Уровни доступа» выберите поле «Выбрать уровень доступа» .

    3. Установите флажки, соответствующие уровням доступа, которые вы хотите применить к периметру.

  8. Нажмите «Сохранить» .

После выполнения этих шагов VPC Service Controls проверит все вызовы Gemini для API Google Cloud, чтобы убедиться, что они исходят из одного и того же периметра.

Настройка сетей VPC

Вам необходимо настроить сети VPC так, чтобы запросы, отправляемые на обычный виртуальный IP-адрес googleapis.com , автоматически направлялись в диапазон ограниченных виртуальных IP-адресов (VIP) , 199.36.153.4/30 ( restricted.googleapis.com ), где обслуживается ваш сервис Gemini. Вам не нужно менять какие-либо конфигурации в расширениях Gemini Code Assist IDE.

Для каждой сети VPC в вашем проекте выполните следующие действия, чтобы заблокировать исходящий трафик, за исключением трафика в ограниченный диапазон VIP:

  1. Включите частный доступ Google в подсетях, где размещены ваши сетевые ресурсы VPC.

  2. Настройте правила брандмауэра , чтобы предотвратить передачу данных за пределы сети VPC.

    1. Создайте правило запрета исходящего трафика, которое блокирует весь исходящий трафик.
    1. Создайте правило разрешения исходящего трафика, которое разрешает трафик на 199.36.153.4/30 на порту TCP 443 Убедитесь, что правило разрешения исходящего трафика имеет приоритет перед правилом запрета исходящего трафика, которое вы только что создали — это разрешает исходящий трафик только в ограниченный диапазон VIP.

  3. Создайте политику ответа облачного DNS .

  4. Создайте правило для политики ответа для преобразования *.googleapis.com в restricted.googleapis.com со следующими значениями:

    • DNS-имя: *.googleapis.com.

    • Локальные данные: restricted.googleapis.com.

    • Тип записи: A

    • Время жизни: 300

    • Данные RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    Диапазон IP-адресов для restricted.googleapis.com199.36.153.4/30 .

После выполнения этих шагов запросы, которые исходят из сети VPC, не смогут покинуть сеть VPC, что предотвратит выход за пределы периметра сервиса. Эти запросы могут достигать только API Google и сервисов, которые проверяют элементы управления сервисами VPC, предотвращая утечку через API Google.

Дополнительные конфигурации

В зависимости от продуктов Google Cloud, которые вы используете с Gemini, вам необходимо учитывать следующее:

  • Клиентские машины, подключенные к периметру. Машины, находящиеся внутри периметра VPC Service Controls, могут получить доступ ко всем возможностям Gemini. Вы также можете расширить периметр до авторизованного Cloud VPN или Cloud Interconnect из внешней сети.

  • Клиентские машины за пределами периметра. Если у вас есть клиентские машины за пределами периметра сервиса, вы можете предоставить контролируемый доступ к ограниченному сервису Gemini.

  • Gemini Code Assist. Для соответствия VPC Service Controls убедитесь, что используемая вами IDE или рабочая станция не имеет доступа к https://www.google.com/tools/feedback/mobile через политики брандмауэра.

  • Облачные рабочие станции. Если вы используете облачные рабочие станции, следуйте инструкциям в разделе Настройка элементов управления службами VPC и частных кластеров .

Что дальше?