Настройка элементов управления услугами VPC для Gemini

В этом документе показано, как настроить VPC Service Controls для поддержки Gemini — инструмента для совместной работы на основе искусственного интеллекта в Google Cloud. Для завершения настройки выполните следующие действия:

1. Обновите периметр обслуживания вашей организации, включив в него Gemini. В этом документе предполагается, что у вас уже есть периметр обслуживания на уровне организации. Для получения дополнительной информации о периметрах обслуживания см. раздел «Подробная информация о периметре обслуживания и его настройке» .

2. В проектах, для которых вы предоставили доступ к Gemini, настройте сети VPC таким образом, чтобы блокировать исходящий трафик, за исключением трафика в ограниченный диапазон VIP-адресов.

Прежде чем начать

1. Убедитесь, что Gemini Code Assist настроен для вашей учетной записи пользователя Google Cloud и проекта.

2. Убедитесь, что у вас есть необходимые роли управления идентификацией и доступом для настройки и администрирования средств управления службами VPC.

3. Убедитесь, что на уровне организации существует зона покрытия сервиса, которую можно использовать для настройки Gemini. Если такой зоны на этом уровне нет, вы можете её создать .

Добавьте Gemini в свою зону обслуживания.

Для использования VPC Service Controls с Gemini необходимо добавить Gemini в периметр обслуживания на уровне организации. Периметр обслуживания должен включать все сервисы, которые вы используете с Gemini, а также другие сервисы Google Cloud, которые вы хотите защитить.

Чтобы добавить Gemini в зону действия вашего сервиса, выполните следующие шаги:

1. В консоли Google Cloud перейдите на страницу «Управление службами VPC» .

   Перейдите в раздел «Управление службами VPC».

2. Выберите свою организацию.

3. На странице «Управление службами VPC» щелкните имя вашего периметра.

4. Нажмите «Добавить ресурсы» и выполните следующие действия:

   1. Для каждого проекта, в котором включена функция Gemini, в панели «Добавить ресурсы» нажмите «Добавить проект» , а затем выполните следующие действия:

   2. В диалоговом окне «Добавить проекты» выберите проекты, которые хотите добавить.

      Если вы используете общую VPC , добавьте основной проект и проекты служб в периметр службы.

   3. Нажмите «Добавить выбранные ресурсы» . Добавленные проекты отобразятся в разделе «Проекты» .

   4. Для каждой сети VPC в ваших проектах в панели «Добавить ресурсы » нажмите «Добавить сеть VPC» , а затем выполните следующие действия:

   5. В списке проектов выберите проект, содержащий сеть VPC.

   6. В диалоговом окне «Добавить ресурсы» установите флажок напротив сети VPC.

   7. Нажмите «Добавить выбранные ресурсы» . Добавленная сеть отобразится в разделе «Сети VPC» .

5. Нажмите «Ограниченные услуги» и выполните следующие действия:

   1. В разделе «Ограниченные услуги» нажмите «Добавить услуги» .

   2. В диалоговом окне « Укажите службы для ограничения доступа » выберите Gemini for Google Cloud API и Gemini Code Assist API в качестве служб, которые вы хотите защитить в пределах периметра безопасности.

   3. Если вы планируете использовать настройку кода , выберите также API Developer Connect . Для получения дополнительной информации о Developer Connect см. обзор Developer Connect .

      Чтобы узнать, как использовать пользовательские ограничения службы организационных политик для ограничения определенных операций на developerconnect.googleapis.com/Connection и developerconnect.googleapis.com/GitRepositoryLink , см. раздел «Создание пользовательских организационных политик» .

   1. Нажмите кнопку «Добавить n услуг» , где n — количество услуг, выбранных вами на предыдущем шаге.

6. Необязательно: если вашим разработчикам необходимо использовать Gemini внутри среды разработки Cloud Code через плагин в их IDE, вам потребуется настроить политику входящего трафика .

   Включение контроля служб VPC для Gemini предотвращает любой доступ извне периметра, включая запуск расширений Gemini Code Assist IDE на компьютерах, находящихся за пределами периметра, например, на корпоративных ноутбуках. Поэтому эти шаги необходимы, если вы хотите использовать Gemini с плагином Gemini Code Assist.

   1. Нажмите «Политика входящего трафика» .

   2. В панели правил входящего трафика нажмите «Добавить правило» .

   3. В атрибутах From клиента API укажите источники извне периметра, которым требуется доступ. В качестве источников можно указать проекты, уровни доступа и сети VPC.

   4. В атрибутах ресурсов/сервисов Google Cloud укажите имя сервиса Gemini и Gemini Code Assist API.

   Список атрибутов правил входящего трафика см. в справочнике правил входящего трафика .

7. Необязательно: если ваша организация использует Access Context Manager и вы хотите предоставить разработчикам доступ к защищенным ресурсам извне периметра, установите уровни доступа:

   1. Нажмите «Уровни доступа» .

   2. В панели «Политика входящего трафика: Уровни доступа» выберите поле «Выберите уровень доступа» .

   3. Установите флажки в соответствии с уровнями доступа, которые вы хотите применить к периметру.

8. Нажмите « Сохранить ».

После выполнения этих шагов VPC Service Controls проверяет все вызовы к API Gemini for Google Cloud, чтобы убедиться, что они исходят из одной и той же области периметра.

Настройка сетей VPC

Вам необходимо настроить ваши сети VPC таким образом, чтобы запросы, отправляемые на обычный виртуальный IP-адрес googleapis.com автоматически перенаправлялись в ограниченный диапазон виртуальных IP-адресов (VIP) , 199.36.153.4/30 ( restricted.googleapis.com ), где работает ваш сервис Gemini. Изменять какие-либо настройки в расширениях Gemini Code Assist IDE не требуется.

Для каждой сети VPC в вашем проекте выполните следующие действия, чтобы заблокировать исходящий трафик, за исключением трафика в ограниченный диапазон VIP-адресов:

1. Включите частный доступ Google в подсетях, где размещены ресурсы вашей VPC-сети.

2. Настройте правила брандмауэра , чтобы предотвратить выход данных за пределы сети VPC.

   1. Создайте правило запрета исходящего трафика, которое блокирует весь исходящий трафик.
   1. Создайте правило разрешения исходящего трафика, которое разрешает трафик к 199.36.153.4/30 через TCP-порт 443 Убедитесь, что правило разрешения исходящего трафика имеет приоритет перед правилом запрета исходящего трафика, которое вы только что создали — это разрешит исходящий трафик только в ограниченный диапазон VIP-адресов.

3. Создайте политику ответа Cloud DNS .

4. Создайте правило для политики ответов, которое будет преобразовывать *.googleapis.com в restricted.googleapis.com со следующими значениями:

   • DNS-имя: *.googleapis.com.

   • Локальные данные: restricted.googleapis.com.

   • Тип записи: A

   • TTL: 300

   • Данные RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   Диапазон IP-адресов для restricted.googleapis.com составляет 199.36.153.4/30 .

После выполнения этих шагов запросы, исходящие из сети VPC, не смогут покинуть сеть VPC, что предотвратит выход за пределы периметра сервиса. Эти запросы смогут достигать только API и сервисов Google, которые проверяют параметры управления сервисами VPC, что предотвратит утечку данных через API Google.

Дополнительные конфигурации

В зависимости от используемых вами продуктов Google Cloud с Gemini, необходимо учитывать следующее:

• Клиентские машины, подключенные к периметру. Машины, находящиеся внутри периметра VPC Service Controls, могут получить доступ ко всем возможностям Gemini. Вы также можете расширить периметр до авторизованной облачной VPN или Cloud Interconnect из внешней сети.

• Клиентские машины за пределами периметра. Когда у вас есть клиентские машины за пределами периметра обслуживания, вы можете предоставить контролируемый доступ к ограниченной службе Gemini.

  • Для получения дополнительной информации см. раздел «Разрешение доступа к защищенным ресурсам извне периметра» .

  • Пример того, как создать уровень доступа в корпоративной сети, см. в разделе «Ограничение доступа в корпоративной сети» .

  • Ознакомьтесь с ограничениями, возникающими при использовании VPC Service Controls с Gemini.

• Gemini Code Assist. Для соответствия требованиям VPC Service Controls убедитесь, что используемая вами IDE или рабочая станция не имеет доступа к https://www.google.com/tools/feedback/mobile через политики брандмауэра.

  • Gemini Code Assist на GitHub. Если вы хотите улучшить качество ответа , вам не следует размещать свой проект Google Cloud внутри периметра сервиса VPC Service Controls .

• Облачные рабочие станции. Если вы используете облачные рабочие станции, следуйте инструкциям в разделе «Настройка управления службами VPC и частных кластеров» .

Что дальше?

• Для получения информации о решениях в области обеспечения соответствия нормативным требованиям в Google Cloud см. Центр ресурсов по вопросам соответствия нормативным требованиям .