דף זה תורגם על ידי Cloud Translation API.

הגדרת VPC Service Controls ל-Gemini

במאמר הזה נסביר איך להגדיר את VPC Service Controls כדי לתמוך ב-Gemini, שותף עבודה מבוסס-AI ב-Google Cloud. כדי להשלים את ההגדרה הזו, מבצעים את הפעולות הבאות:

מעדכנים את גבולות השירות של הארגון כך שיכללו את Gemini. במסמך הזה אנו מתייחסים לארגון שכבר הגדיר גבולות שירות ברמת הארגון. מידע נוסף על גבולות גזרה לשירות זמין במאמר פרטים והגדרה של גבולות גזרה לשירות.
בפרויקטים שבהם הפעלתם גישה ל-Gemini, צריך להגדיר לרשתות ה-VPC לחסום תעבורת נתונים יוצאת, מלבד תעבורת נתונים לטווח ה-VIP המוגבל.

לפני שמתחילים

מוודאים ש-Gemini Code Assist מוגדר בחשבון המשתמש ובפרויקט ב-Google Cloud.
חשוב לוודא שיש לכם את התפקידים הנדרשים לניהול זהויות והרשאות גישה כדי להגדיר ולנהל את VPC Service Controls.
מוודאים שיש לכם גבולות שירות ברמת הארגון שתוכלו להשתמש בהם כדי להגדיר את Gemini. אם אין לכם גבול שירות ברמה הזו, תוכלו ליצור אותו.

הוספת Gemini למתחם השירות

כדי להשתמש ב-VPC Service Controls עם Gemini, מוסיפים את Gemini לגבולות הגזרה של השירות ברמת הארגון. גבולות השירות צריכים לכלול את כל השירותים שבהם אתם משתמשים עם Gemini ושירותים אחרים של Google Cloud שאתם רוצים להגן עליהם.

כדי להוסיף את Gemini למתחם השירות:

נכנסים לדף VPC Service Controls במסוף Google Cloud.

כניסה לדף VPC Service Controls
בוחרים את הארגון.
בדף VPC Service Controls, לוחצים על שם ההיקף.
לוחצים על Add Resources (הוספת משאבים) ומבצעים את הפעולות הבאות:
1. לכל פרויקט שבו הפעלתם את Gemini, בחלונית Add resources לוחצים על Add project ולאחר מכן מבצעים את הפעולות הבאות:
2. בתיבת הדו-שיח Add projects, בוחרים את הפרויקטים שרוצים להוסיף.
  
  אם אתם משתמשים ב-VPC משותף, מוסיפים את הפרויקט המארח ואת פרויקטי השירות לגבולות הגזרה של השירות.
3. לוחצים על הוספת המשאבים שנבחרו. הפרויקטים שנוספו יופיעו בקטע Projects.
4. לכל רשת VPC בפרויקטים, בחלונית Add resources לוחצים על Add VPC network ומבצעים את הפעולות הבאות:
5. ברשימת הפרויקטים, לוחצים על הפרויקט שמכיל את רשת ה-VPC.
6. בתיבת הדו-שיח Add resources, מסמנים את התיבה של רשת ה-VPC.
7. לוחצים על הוספת המשאבים שנבחרו. הרשת שנוספה מופיעה בקטע VPC networks.
לוחצים על שירותים מוגבלים ומבצעים את הפעולות הבאות:
1. בחלונית Restricted Services, לוחצים על Add services.
2. בתיבת הדו-שיח Specify services to restrict, בוחרים את השירותים Gemini for Google Cloud API ו-Gemini Code Assist API כשירותים שרוצים לאבטח בתוך המתחם.
3. אם אתם מתכננים להשתמש בהתאמה אישית של קוד, עליכם לבחור גם באפשרות Developer Connect API. למידע נוסף על Developer Connect, קראו את הסקירה הכללית על Developer Connect.
  
  במאמר יצירת מדיניות ארגון בהתאמה אישית מוסבר איך משתמשים באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות ב-developerconnect.googleapis.com/Connection וב-developerconnect.googleapis.com/GitRepositoryLink.
הערה: מומלץ להגביל את כל השירותים כשיוצרים מתחם היקפי, כדי לצמצם את הסיכון לזליגת מידע משירותי Google Cloud.
1. לוחצים על Add n services, כאשר n הוא מספר השירותים שבחרתם בשלב הקודם.
אופציונלי: אם המפתחים צריכים להשתמש ב-Gemini בתוך המתחם מהפלאגין של Cloud Code בסביבות הפיתוח שלהם, תצטרכו להגדיר את מדיניות הגישה הנכנסת.

הפעלת VPC Service Controls ב-Gemini מונעת את כל הגישה מחוץ למתחם, כולל הפעלת התוספים של Gemini Code Assist IDE ממכונות שלא נמצאות במתחם, כמו מחשבים ניידים של החברה. לכן, צריך לבצע את השלבים האלה אם רוצים להשתמש ב-Gemini עם הפלאגין Gemini Code Assist.
1. לוחצים על Ingress policy.
2. בחלונית Ingress rules, לוחצים על Add rule.
3. בקטע From attributes of the API client, מציינים את המקורות מחוץ למתחם שדרושה להם גישה. אפשר לציין פרויקטים, רמות גישה ורשתות VPC כמקורות.
4. בקטע To attributes of Google Cloud resources/services, מציינים את שם השירות של Gemini ושל Gemini Code Assist API.
רשימה של מאפייני כללי תעבורת נתונים נכנסת מופיעה במאמר חומר עזר בנושא כללי תעבורת נתונים נכנסת.
אופציונלי: אם הארגון שלכם משתמש ב-Access Context Manager ואתם רוצים לתת למפתחים גישה למשאבים מוגנים מחוץ למתחם, צריך להגדיר רמות גישה:
1. לוחצים על רמות גישה.
2. בחלונית Ingress Policy: Access Levels, בוחרים בשדה Choose Access Level.
3. מסמנים את התיבות לצד רמות הגישה שרוצים להחיל על המתחם.
לוחצים על שמירה.

אחרי ביצוע השלבים האלה, VPC Service Controls בודק את כל הקריאות ל-Gemini for Google Cloud API כדי לוודא שהן מגיעות מאותו גבול.

הגדרת רשתות VPC

צריך להגדיר את רשתות ה-VPC כך שהבקשות שנשלחות לכתובת ה-IP הווירטואלית הרגילה googleapis.com יופנו באופן אוטומטי לטווח כתובות ה-IP הווירטואלי (VIP) המוגבל, 199.36.153.4/30 (restricted.googleapis.com), שבו פועל שירות Gemini. אין צורך לשנות את ההגדרות של התוספים של Gemini Code Assist ל-IDE.

בכל רשת VPC בפרויקט, פועלים לפי השלבים הבאים כדי לחסום תעבורת נתונים יוצאת, מלבד תעבורת נתונים לטווח ה-VIP המוגבל:

מפעילים את Private Google Access ברשתות המשנה שמארחות את המשאבים של רשת ה-VPC.
מגדירים כללי חומת אש כדי למנוע מנתונים לצאת מרשת ה-VPC.

זהירות: אם לא תגדירו את כללי חומת האש בצורה נכונה, השירותים שלכם עלולים להיות חשופים לזליגת מידע.
1. יוצרים כלל דחייה של תעבורת נתונים יוצאת (egress) שחוסם את כל תעבורת הנתונים היוצאת.
הערה: חשוב לוודא שלכלל חומת האש לדחייה של כל תעבורת הנתונים היוצאת (egress) יש עדיפות אחרי 1000. אחרת, התנועה מהמתאם של חיבור לרשת (VPC) מאפליקציית serverless לשירות שלכם תיחסם.
1. יוצרים כלל של תעבורת נתונים יוצאת (egress) שמאפשר תעבורת נתונים אל 199.36.153.4/30 ביציאה TCP‏ 443. חשוב לוודא שלכלל ההרשאה ליצירת נתונים יוצאים (egress) יש עדיפות לפני כלל הדחייה ליצירת נתונים יוצאים שיצרתם זה עתה. כך תוכלו לאפשר יצירת נתונים יוצאים רק לטווח ה-VIP המוגבל.
יצירת מדיניות תגובה ב-Cloud DNS
יוצרים כלל למדיניות התגובה כדי להפנות את *.googleapis.com אל restricted.googleapis.com עם הערכים הבאים:
- שם ה-DNS: *.googleapis.com.
- נתונים מקומיים: restricted.googleapis.com.
- סוג הרשומה: A
- TTL: ‏ 300
- נתוני RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
טווח כתובות ה-IP של restricted.googleapis.com הוא 199.36.153.4/30.

אחרי שתבצעו את השלבים האלה, הבקשות שמקורן ברשת ה-VPC לא יוכלו לצאת מרשת ה-VPC, וכך מונעת תעבורת נתונים יוצאת מחוץ לגבולות הגזרה של השירות. הבקשות האלה יכולות להגיע רק לממשקי Google API ולשירותים שבודקים את VPC Service Controls, וכך מונעות זליגת מידע דרך Google APIs.

הגדרות נוספות

בהתאם למוצרי Google Cloud שבהם אתם משתמשים עם Gemini, עליכם להביא בחשבון את הדברים הבאים:

מכונות לקוח שמחוברות לגבול. למכונות שנמצאות בתוך ההיקף של VPC Service Controls יש גישה לכל חוויות השימוש ב-Gemini. אפשר גם להרחיב את המתחם היקפי ל- Cloud VPN או ל-Cloud Interconnect מורשים מרשת חיצונית.
מכונות לקוח מחוץ למתחם אם יש לכם מכונות לקוח מחוץ לגבולות הגזרה של השירות, תוכלו להעניק גישה מבוקרת לשירות Gemini המוגבל.
- מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ למתחם.
- דוגמה ליצירת רמת גישה ברשת ארגונית מופיעה במאמר הגבלת הגישה ברשת ארגונית.
- כדאי לעיין במגבלות כשמשתמשים ב-VPC Service Controls עם Gemini.
Gemini Code Assist כדי לעמוד בדרישות של VPC Service Controls, צריך לוודא שלסביבת הפיתוח המשולבת (IDE) או לתחנת העבודה שבה אתם משתמשים אין גישה ל-https://www.google.com/tools/feedback/mobile דרך כללי חומת האש.
תחנות עבודה בענן אם אתם משתמשים ב-Cloud Workstations, פועלים לפי ההוראות במאמר הגדרת VPC Service Controls ואשכולות פרטיים.

המאמרים הבאים

למידע על המוצרים והשירותים של Google Cloud לשמירה על תאימות, תוכלו לקרוא את המאמר מרכז המשאבים בנושא תאימות.