Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת VPC Service Controls ל-Gemini

במאמר הזה נסביר איך להגדיר את VPC Service Controls כדי לתמוך ב-Gemini, כלי מבוסס-AI ב-Google Cloud. כדי להשלים את ההגדרה הזו, צריך לבצע את הפעולות הבאות:

מעדכנים את גבולות הגזרה לשירות של הארגון כדי לכלול את Gemini. במאמר הזה אנחנו מניחים שכבר יש לכם גבולות גזרה לשירות ברמת הארגון. מידע נוסף על גבולות גזרה לשירות זמין במאמר פרטים והגדרה של גבולות גזרה לשירות.
בפרויקטים שבהם הפעלתם גישה ל-Gemini, צריך להגדיר רשתות VPC כדי לחסום תעבורה יוצאת, למעט תעבורה לטווח כתובות ה-IP הווירטואליות המוגבל.

לפני שמתחילים

מוודאים ש-Gemini Code Assist מוגדר בחשבון המשתמש ובפרויקט שלכם ב-Google Cloud.
חשוב לוודא שיש לכם את התפקידים הנדרשים לניהול זהויות והרשאות גישה כדי להגדיר ולנהל את VPC Service Controls.
מוודאים שיש לכם גבולות גזרה לשירות ברמת הארגון שתוכלו להשתמש בו כדי להגדיר את Gemini. אם אין לכם היקף שירות ברמה הזו, אתם יכולים ליצור אחד.

הוספת Gemini לגבולות גזרה לשירות

כדי להשתמש ב-VPC Service Controls עם Gemini, מוסיפים את Gemini לגבולות גזרה לשירות ברמת הארגון. גבולות גזרה לשירות צריכים לכלול את כל השירותים שבהם אתם משתמשים עם Gemini ושירותים אחרים של Google Cloud שאתם רוצים להגן עליהם.

כדי להוסיף את Gemini לגבולות גזרה לשירות, יש לבצע את השלבים הבאים:

נכנסים לדף VPC Service Controls במסוף Google Cloud.

מעבר אל VPC Service Controls
בוחרים את הארגון.
בדף VPC Service Controls, לוחצים על שם הגבול.
לוחצים על הוספת משאבים ומבצעים את הפעולות הבאות:
1. לכל פרויקט שבו הפעלתם את Gemini, בחלונית Add resources, לוחצים על Add project ופועלים לפי השלבים הבאים:
2. בתיבת הדו-שיח Add projects, בוחרים את הפרויקטים שרוצים להוסיף.
  
  אם אתם משתמשים ב-VPC משותף, אתם צריכים להוסיף את הפרויקט המארח ואת פרויקטי השירות לגבולות גזרה לשירות.
3. לוחצים על הוספת המקורות שנבחרו. הפרויקטים שנוספו מופיעים בקטע Projects.
4. לכל רשת VPC בפרויקטים, בחלונית Add resources, לוחצים על Add VPC network ומבצעים את הפעולות הבאות:
5. ברשימת הפרויקטים, לוחצים על הפרויקט שמכיל את רשת ה-VPC.
6. בתיבת הדו-שיח הוספת משאבים, מסמנים את תיבת הסימון של רשת ה-VPC.
7. לוחצים על הוספת המקורות שנבחרו. הרשת שנוספה מופיעה בקטע VPC networks.
לוחצים על שירותים עם גישה מוגבלת ומבצעים את הפעולות הבאות:
1. בחלונית Restricted Services (שירותים מוגבלים), לוחצים על Add services (הוספת שירותים).
2. בתיבת הדו-שיח Specify services to restrict, בוחרים באפשרות Gemini for Google Cloud API ובאפשרות Gemini Code Assist API כשירותים שרוצים לאבטח בתוך ההיקף.
3. אם אתם מתכננים להשתמש בהתאמה אישית של קוד, תצטרכו לבחור גם באפשרות Developer Connect API. מידע נוסף על Developer Connect זמין במאמר סקירה כללית של Developer Connect.
  
  במאמר יצירת מדיניות ארגון בהתאמה אישית מוסבר איך משתמשים באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות ב-developerconnect.googleapis.com/Connection וב-developerconnect.googleapis.com/GitRepositoryLink.
הערה: מומלץ להגביל את כל השירותים כשיוצרים גבולות גזרה כדי לצמצם את הסיכון לזליגת נתונים משירותי Google Cloud.
1. לוחצים על הוספת n שירותים, כאשר n הוא מספר השירותים שבחרתם בשלב הקודם.
אופציונלי: אם המפתחים שלכם צריכים להשתמש ב-Gemini בתוך גבולות הגזרה של תוסף Cloud Code בסביבות הפיתוח המשולבות שלהם, תצטרכו להגדיר את מדיניות הכניסה.

הפעלת VPC Service Controls עבור Gemini מונעת כל גישה מחוץ לגבולות הגזרה, כולל הרצת תוספי IDE של Gemini Code Assist ממכונות שלא נמצאות בגבולות הגזרה, כמו מחשבים ניידים של החברה. לכן, צריך לבצע את השלבים האלה אם רוצים להשתמש ב-Gemini עם התוסף Gemini Code Assist.
1. לוחצים על Ingress policy (מדיניות כניסה).
2. בחלונית Ingress rules, לוחצים על Add rule.
3. בקטע ממאפיינים של לקוח ה-API, מציינים את המקורות שמחוץ לגבולות הגזרה שנדרשת להם גישה. אפשר לציין פרויקטים, רמות גישה ורשתות VPC כמקורות.
4. בקטע To attributes of Google Cloud resources/services (מאפיינים של משאבים או שירותים ב-Google Cloud), מציינים את שם השירות של Gemini ושל Gemini Code Assist API.
רשימה של מאפייני כללי כניסה מופיעה במאמר בנושא חומר עזר בנושא כללי כניסה.
אופציונלי: אם הארגון שלכם משתמש ב-Access Context Manager ואתם רוצים להעניק למפתחים גישה למשאבים מוגנים מחוץ לגבולות גזרה, צריך להגדיר רמות גישה:
1. לוחצים על רמות גישה.
2. בחלונית Ingress Policy: Access Levels (מדיניות כניסה: רמות גישה), בוחרים בשדה Choose Access Level (בחירת רמת גישה).
3. מסמנים את התיבות שמתאימות לרמות הגישה שרוצים להחיל על ההיקף.
לוחצים על שמירה.

אחרי שמבצעים את השלבים האלה, VPC Service Controls בודק את כל הקריאות ל-Gemini for Google Cloud API כדי לוודא שהן מגיעות מתוך גבולות הגזרה.

הגדרת רשתות VPC

צריך להגדיר את רשתות ה-VPC כך שהבקשות שנשלחות לכתובת ה-IP הווירטואלית הרגילה googleapis.com ינותבו אוטומטית לטווח כתובות ה-IP הווירטואליות המוגבלות (VIP),‏ 199.36.153.4/30 (restricted.googleapis.com), שבהן פועל שירות Gemini. אתם לא צריכים לשנות את ההגדרות בתוספים של Gemini Code Assist ל-IDE.

לכל רשת VPC בפרויקט, פועלים לפי השלבים הבאים כדי לחסום תעבורת נתונים יוצאת, למעט תעבורת נתונים לטווח ה-VIP המוגבל:

מפעילים את הגישה הפרטית ל-Google ברשתות המשנה שמארחות את משאבי רשת ה-VPC.
מגדירים כללים של חומת אש כדי למנוע יציאה של נתונים מרשת ה-VPC.

זהירות: אם לא מגדירים את כללי חומת האש בצורה נכונה, השירותים עלולים להיות חשופים לגניבת נתונים.
1. יוצרים כלל לדחיית תעבורת נתונים יוצאת שחוסם את כל התעבורה היוצאת.
הערה: חשוב לוודא שהעדיפות של כלל חומת האש שחוסם את כל התעבורה היוצאת היא אחרי 1000. אחרת, התנועה מהמחבר Serverless VPC Access לשירות שלכם תיחסם.
1. יוצרים כלל שמאפשר תעבורת נתונים יוצאת (egress) אל 199.36.153.4/30 ביציאת TCP‏ 443. חשוב לוודא שלכלל שמאפשר תעבורת נתונים יוצאת (egress) יש עדיפות לפני הכלל שדוחה תעבורת נתונים יוצאת (egress) שיצרתם זה עתה – כך תתאפשר תעבורת נתונים יוצאת (egress) רק לטווח ה-VIP המוגבל.
יצירה של מדיניות תגובה ב-Cloud DNS.
יוצרים כלל למדיניות התגובה כדי לפתור את הבעיה *.googleapis.com ל-restricted.googleapis.com עם הערכים הבאים:
- שם DNS: ‏ *.googleapis.com.
- נתונים מחנויות מקומיות: restricted.googleapis.com.
- סוג הרשומה: A
- TTL: 300
- נתוני RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
טווח כתובות ה-IP של restricted.googleapis.com הוא 199.36.153.4/30.

אחרי שתבצעו את השלבים האלה, הבקשות שמקורן ברשת ה-VPC לא יוכלו לצאת מרשת ה-VPC, וכך לא תתאפשר יציאה מחוץ לגבולות גזרה לשירות. הבקשות האלה יכולות להגיע רק לממשקי API ולשירותים של Google שבודקים את VPC-Service Controls, וכך למנוע חילוץ נתונים דרך ממשקי API של Google.

הגדרות נוספות

בהתאם למוצרי Google Cloud שבהם אתם משתמשים עם Gemini, חשוב לשים לב לנקודות הבאות:

מכונות לקוח שמחוברות להיקף. למכונות שנמצאות בתוך ההיקף של אמצעי הבקרה של שירות VPC יש גישה לכל ממשקי Gemini. אפשר גם להרחיב את גבולות הגזרה ל- Cloud VPN או ל-Cloud Interconnect מורשים מרשת חיצונית.
מכונות לקוח מחוץ להיקף. אם יש לכם מכונות לקוח מחוץ לגבולות הגזרה לשירות, אתם יכולים להעניק גישה מבוקרת לשירות Gemini המוגבל.
- מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ להיקף.
- דוגמה ליצירת רמת גישה ברשת ארגונית מופיעה במאמר הגבלת הגישה ברשת ארגונית.
- חשוב לעיין במגבלות כשמשתמשים ב-VPC Service Controls עם Gemini.
‫Gemini Code Assist. כדי לעמוד בדרישות של VPC Service Controls, צריך לוודא שלסביבת הפיתוח המשולבת או לתחנת העבודה שבהן אתם משתמשים אין גישה אל https://www.google.com/tools/feedback/mobile דרך מדיניות חומת האש.
- ‫Gemini Code Assist ב-GitHub. אם רוצים להפעיל את האפשרות שיפור איכות התשובות, לא כדאי למקם את פרויקט בענן בגבולות גזרה לשירות של VPC Service Controls.
‫Cloud Workstations. אם אתם משתמשים ב-Cloud Workstations, אתם צריכים לפעול לפי ההוראות שבמאמר הגדרת VPC Service Controls ואשכולות פרטיים.

המאמרים הבאים

למידע על מוצרי התאימות ב-Google Cloud, אפשר לעיין במרכז המשאבים בנושא תאימות.