کنترل های سرویس VPC را برای Gemini پیکربندی کنید

این سند نحوه پیکربندی کنترل‌های سرویس VPC را برای پشتیبانی از Gemini ، یک همکار مبتنی بر هوش مصنوعی در Google Cloud نشان می‌دهد. برای تکمیل این پیکربندی، موارد زیر را انجام دهید:

1. محیط خدمات سازمان خود را به روز کنید تا Gemini را نیز در بر گیرد. این سند فرض می کند که شما قبلاً یک محیط خدمات در سطح سازمان دارید. برای اطلاعات بیشتر در مورد محیط‌های سرویس، جزئیات و پیکربندی محیط سرویس را ببینید.

2. در پروژه‌هایی که دسترسی به Gemini را فعال کرده‌اید، شبکه‌های VPC را طوری پیکربندی کنید که ترافیک خروجی را به جز ترافیک به محدوده VIP محدود مسدود کند.

قبل از شروع

1. اطمینان حاصل کنید که Gemini Code Assist برای حساب کاربری و پروژه Google Cloud شما تنظیم شده است.

2. مطمئن شوید که نقش‌های مدیریت هویت و دسترسی لازم را برای راه‌اندازی و مدیریت کنترل‌های سرویس VPC دارید.

3. اطمینان حاصل کنید که یک محیط خدماتی در سطح سازمان دارید که می توانید برای راه اندازی Gemini از آن استفاده کنید. اگر محیط سرویس در این سطح ندارید، می توانید آن را ایجاد کنید .

Gemini را به محیط خدمات خود اضافه کنید

برای استفاده از VPC Service Controls با Gemini، Gemini را به محیط سرویس در سطح سازمان اضافه می‌کنید. محیط سرویس باید شامل تمام سرویس‌هایی باشد که با Gemini و سایر سرویس‌های Google Cloud که می‌خواهید از آنها محافظت کنید استفاده می‌کنید.

برای افزودن Gemini به محیط سرویس خود، این مراحل را دنبال کنید:

1. در کنسول Google Cloud، به صفحه VPC Service Controls بروید.

   به VPC Service Controls بروید

2. سازمان خود را انتخاب کنید

3. در صفحه VPC Service Controls ، روی نام محیط خود کلیک کنید.

4. روی افزودن منابع کلیک کنید و موارد زیر را انجام دهید:

   1. برای هر پروژه ای که Gemini را در آن فعال کرده اید، در صفحه افزودن منابع ، روی افزودن پروژه کلیک کنید و سپس موارد زیر را انجام دهید:

   2. در گفتگوی افزودن پروژه ها ، پروژه هایی را که می خواهید اضافه کنید انتخاب کنید.

      اگر از VPC مشترک استفاده می‌کنید، پروژه میزبان و پروژه‌های خدماتی را به محیط سرویس اضافه کنید.

   3. روی افزودن منابع انتخاب شده کلیک کنید. پروژه های اضافه شده در بخش پروژه ها ظاهر می شوند.

   4. برای هر شبکه VPC در پروژه های خود، در پنجره افزودن منابع ، روی افزودن شبکه VPC کلیک کنید و سپس کارهای زیر را انجام دهید:

   5. از لیست پروژه ها، روی پروژه ای که حاوی شبکه VPC است کلیک کنید.

   6. در گفتگوی افزودن منابع ، کادر انتخاب شبکه VPC را انتخاب کنید.

   7. روی افزودن منابع انتخاب شده کلیک کنید. شبکه اضافه شده در قسمت شبکه های VPC ظاهر می شود.

5. روی Restricted Services کلیک کنید و موارد زیر را انجام دهید:

   1. در بخش خدمات محدود ، روی افزودن خدمات کلیک کنید.

   2. در گفتگوی Specify services to limited ، Gemini را برای Google Cloud API و Gemini Code Assist API را به عنوان سرویس هایی که می خواهید در محیطی ایمن کنید، انتخاب کنید.

   3. اگر می‌خواهید از سفارشی‌سازی کد استفاده کنید، Developer Connect API را نیز انتخاب کنید. برای اطلاعات بیشتر درباره Developer Connect، به نمای کلی Developer Connect مراجعه کنید.

      برای یادگیری نحوه استفاده از محدودیت‌های سفارشی خدمات سازمان سیاست برای محدود کردن عملیات خاص در developerconnect.googleapis.com/Connection و developerconnect.googleapis.com/GitRepositoryLink ، به ایجاد خط‌مشی‌های سازمانی سفارشی مراجعه کنید.

   1. روی Add n services کلیک کنید، جایی که n تعداد سرویس هایی است که در مرحله قبل انتخاب کرده اید.

6. اختیاری: اگر توسعه دهندگان شما باید از Gemini در محیطی از افزونه Cloud Code در IDE های خود استفاده کنند، باید خط مشی ورود را پیکربندی کنید.

   فعال کردن کنترل‌های سرویس VPC برای Gemini از همه دسترسی‌ها از خارج از محیط، از جمله اجرای برنامه‌های افزودنی Gemini Code Assist از دستگاه‌هایی که در محیط نیستند، مانند لپ‌تاپ‌های شرکت، جلوگیری می‌کند. بنابراین، اگر می خواهید از Gemini با افزونه Gemini Code Assist استفاده کنید، این مراحل ضروری است.

   1. روی سیاست ورود کلیک کنید.

   2. در پنجره قوانین ورود ، روی افزودن قانون کلیک کنید.

   3. در From ویژگی های مشتری API ، منابعی را از خارج از محیط که نیاز به دسترسی دارند، مشخص کنید. می توانید پروژه ها، سطوح دسترسی و شبکه های VPC را به عنوان منبع مشخص کنید.

   4. در ویژگی‌های منابع/سرویس‌های Google Cloud ، نام سرویس Gemini و Gemini Code Assist API را مشخص کنید.

   برای فهرستی از ویژگی‌های قانون ورود، به مرجع قوانین ورود مراجعه کنید.

7. اختیاری: اگر سازمان شما از Access Context Manager استفاده می کند و می خواهید به توسعه دهندگان دسترسی به منابع محافظت شده از خارج از محیط را فراهم کنید، سطوح دسترسی را تنظیم کنید:

   1. روی سطوح دسترسی کلیک کنید.

   2. در پنجره Ingress Policy: Access Levels ، قسمت Choose Access Level را انتخاب کنید.

   3. چک باکس های مربوط به سطوح دسترسی را که می خواهید در محیط اعمال کنید، انتخاب کنید.

8. روی ذخیره کلیک کنید.

پس از تکمیل این مراحل، کنترل‌های سرویس VPC همه تماس‌های Gemini برای Google Cloud API را بررسی می‌کند تا مطمئن شود که از داخل یک محیط منشا می‌گیرند.

شبکه های VPC را پیکربندی کنید

باید شبکه‌های VPC خود را به گونه‌ای پیکربندی کنید که درخواست‌های ارسال شده به IP مجازی معمولی googleapis.com به‌طور خودکار به محدوده IP مجازی (VIP) محدود شده ، 199.36.153.4/30 ( restricted.googleapis.com )، جایی که سرویس Gemini شما در آن ارائه می‌شود، هدایت شوند. نیازی به تغییر پیکربندی در پسوندهای Gemini Code Assist IDE ندارید.

برای هر شبکه VPC در پروژه خود، برای مسدود کردن ترافیک خروجی به جز ترافیک به محدوده VIP محدود، مراحل زیر را دنبال کنید:

1. دسترسی Google خصوصی را در زیرشبکه‌هایی که منابع شبکه VPC شما را میزبانی می‌کنند، فعال کنید.

2. قوانین فایروال را برای جلوگیری از خروج داده ها از شبکه VPC پیکربندی کنید .

   1. یک قانون رد خروج ایجاد کنید که تمام ترافیک خروجی را مسدود کند.
   1. یک قانون اجازه خروج ایجاد کنید که به ترافیک 199.36.153.4/30 در پورت TCP 443 اجازه می دهد. اطمینان حاصل کنید که قانون اجازه خروج قبل از قانون انکار خروج که ایجاد کرده‌اید اولویت دارد - این اجازه خروج را فقط به محدوده VIP محدود می‌دهد.

3. یک خط مشی پاسخ Cloud DNS ایجاد کنید .

4. یک قانون برای خط مشی پاسخ ایجاد کنید تا *.googleapis.com را به restricted.googleapis.com با مقادیر زیر حل کند:

   • نام DNS: *.googleapis.com.

   • داده های محلی: restricted.googleapis.com.

   • نوع رکورد: A

   • TTL: 300

   • اطلاعات RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   محدوده آدرس IP برای restricted.googleapis.com 199.36.153.4/30 است.

پس از تکمیل این مراحل، درخواست‌هایی که از داخل شبکه VPC منشا می‌گیرند، نمی‌توانند از شبکه VPC خارج شوند و از خروج از محیط سرویس جلوگیری می‌کنند. این درخواست‌ها فقط می‌توانند به APIهای Google و سرویس‌هایی برسند که کنترل‌های سرویس VPC را بررسی می‌کنند و از نفوذ از طریق APIهای Google جلوگیری می‌کنند.

تنظیمات اضافی

بسته به محصولات Google Cloud که با Gemini استفاده می کنید، باید موارد زیر را در نظر بگیرید:

• ماشین های مشتری متصل به محیط. ماشین‌هایی که داخل محیط کنترل‌های سرویس VPC هستند می‌توانند به تمام تجربیات Gemini دسترسی داشته باشند. همچنین می توانید محیط را به یک Cloud VPN مجاز یا Cloud Interconnect از یک شبکه خارجی گسترش دهید.

• ماشین های مشتری خارج از محیط. هنگامی که ماشین‌های کلاینت خارج از محدوده خدمات دارید، می‌توانید دسترسی کنترل‌شده را به سرویس محدود شده Gemini بدهید.

  • برای اطلاعات بیشتر، اجازه دسترسی به منابع محافظت شده از خارج از محیط را ببینید.

  • برای مثالی از نحوه ایجاد سطح دسترسی در یک شبکه شرکتی، به محدود کردن دسترسی در شبکه شرکتی مراجعه کنید.

  • محدودیت ها را هنگام استفاده از کنترل های سرویس VPC با Gemini مرور کنید.

• Gemini Code Assist. برای انطباق با کنترل‌های سرویس VPC، مطمئن شوید که IDE یا ایستگاه کاری که استفاده می‌کنید از طریق خط‌مشی‌های فایروال به https://www.google.com/tools/feedback/mobile دسترسی ندارد.

• ایستگاه های کاری ابری اگر از ایستگاه های کاری Cloud استفاده می کنید، دستورالعمل های موجود در پیکربندی کنترل های سرویس VPC و خوشه های خصوصی را دنبال کنید.

بعدش چی

• برای اطلاعات در مورد پیشنهادات سازگاری در Google Cloud، به مرکز منابع سازگاری مراجعه کنید.