Konfigurowanie ustawień usługi VPC dla Gemini

Ten dokument pokazuje, jak skonfigurować Ustawienia usługi VPC, aby obsługiwać Gemini, współpracownika opartego na AI w Google Cloud. Aby dokończyć tę konfigurację, wykonaj te czynności:

1. Zaktualizuj granicę usług swojej organizacji, aby obejmowała Gemini. W tym dokumencie zakładamy, że masz już zdefiniowany obwód usługi na poziomie organizacji. Więcej informacji o granicach usług znajdziesz w artykule Szczegóły i konfiguracja granicy usług.

2. W projektach, w których masz włączony dostęp do Gemini, skonfiguruj sieci VPC tak, aby blokowały ruch wychodzący, z wyjątkiem ruchu do ograniczonego zakresu adresów IP.

Zanim zaczniesz

1. Sprawdź, czy w projekcie i na koncie użytkownika Google Cloud skonfigurowano Gemini Code Assist.

2. Sprawdź, czy masz wymagane role Identity and Access Management, aby skonfigurować i administrować Ustawieniami usługi VPC.

3. Upewnij się, że na poziomie organizacji masz wyznaczony obszar usługi, którego możesz użyć do skonfigurowania Gemini. Jeśli na tym poziomie nie masz jeszcze perymetru usługi, możesz go utworzyć.

Dodawanie Gemini do granicy usługi

Aby używać Ustawień usługi VPC z Gemini, dodaj Gemini do granicy usługi na poziomie organizacji. Perimeter usługi musi obejmować wszystkie usługi, których używasz z Gemini, oraz inne usługi Google Cloud, które chcesz chronić.

Aby dodać Gemini do granicy usługi:

1. W konsoli Google Cloud otwórz stronę Ustawienia usługi VPC.

   Otwórz Ustawienia usługi VPC

2. Wybierz swoją organizację.

3. Na stronie Ustawienia usługi VPC kliknij nazwę swojej granicy.

4. Kliknij Dodaj zasoby i wykonaj te czynności:

   1. W przypadku każdego projektu, w którym włączono Gemini, w panelu Dodaj zasoby kliknij Dodaj projekt, a następnie wykonaj te czynności:

   2. W oknie Dodaj projekty wybierz projekty, które chcesz dodać.

      Jeśli korzystasz ze wspólnego środowiska VPC, dodaj projekt hosta i projekty usług do granicy usługi.

   3. Kliknij Dodaj wybrane zasoby. Dodane projekty pojawią się w sekcji Projekty.

   4. W przypadku każdej sieci VPC w projektach w panelu Dodaj zasoby kliknij Dodaj sieć VPC, a następnie wykonaj te czynności:

   5. Na liście projektów kliknij projekt zawierający sieć VPC.

   6. W oknie Dodaj zasoby zaznacz pole wyboru sieci VPC.

   7. Kliknij Dodaj wybrane zasoby. Dodana sieć pojawi się w sekcji sieci VPC.

5. Kliknij Usługi z ograniczeniami i wykonaj te czynności:

   1. W panelu Usługi z ograniczeniami kliknij Dodaj usługi.

   2. W oknie Określ usługi, które mają zostać ograniczone wybierz Gemini for Google Cloud API i Gemini Code Assist API jako usługi, które chcesz zabezpieczyć w obrębie perymetru.

   3. Jeśli planujesz użyć personalizacji kodu, wybierz też interfejs Developer Connect API. Więcej informacji o Developer Connect znajdziesz w artykule Omówienie Developer Connect.

      Aby dowiedzieć się, jak używać ograniczeń niestandardowych usługi zasad organizacji, aby ograniczyć określone operacje dotyczące developerconnect.googleapis.com/Connection i developerconnect.googleapis.com/GitRepositoryLink, zapoznaj się z artykułem Tworzenie niestandardowych zasad organizacji.

   1. Kliknij Dodaj n usługi, gdzie n to liczba usług wybranych w poprzednim kroku.

6. Opcjonalnie: jeśli Twoi deweloperzy muszą używać Gemini w perymetrze z pluginem Cloud Code w swoich IDE, musisz skonfigurować zasady dostępu.

   Włączenie ustawień usługi VPC dla Gemini uniemożliwia dostęp z zewnątrz perymetru, w tym uruchamianie rozszerzeń Gemini Code Assist IDE z urządzeń nieznajdujących się w obrębie perymetru, takich jak laptopy firmowe. Dlatego te czynności są konieczne, jeśli chcesz korzystać z Gemini z wtyczką Gemini Code Assist.

   1. Kliknij Zasada ruchu przychodzącego.

   2. W panelu Reguły ruchu przychodzącego kliknij Dodaj regułę.

   3. W sekcji Atrybuty FROM z klienta API określ źródła spoza perymetru, które wymagają dostępu. Jako źródła możesz określić projekty, poziomy dostępu i sieci VPC.

   4. W sekcji Atrybuty TO zasobów/usług Google Cloud podaj nazwę usługi Gemini i interfejsu Gemini Code Assist API.

   Listę atrybutów reguł dla ruchu przychodzącego znajdziesz w artykule Reguły dla ruchu przychodzącego – dokumentacja.

7. Opcjonalnie: jeśli Twoja organizacja korzysta z Menedżera kontekstu dostępu i chcesz przyznać deweloperom dostęp do zasobów chronionych spoza perymetru, ustaw poziomy dostępu:

   1. Kliknij Poziomy dostępu.

   2. W panelu Zasada dotycząca ruchu przychodzącego: poziomy dostępu wybierz pole Wybierz poziom dostępu.

   3. Zaznacz pola wyboru odpowiadające poziomom dostępu, które chcesz zastosować do obwodu.

8. Kliknij Zapisz.

Po wykonaniu tych czynności ustawienia usługi VPC sprawdzają wszystkie wywołania interfejsu Gemini for Google Cloud API, aby upewnić się, że pochodzą one z tego samego obwodu.

Skonfiguruj sieci VPC

Musisz skonfigurować sieci VPC tak, aby żądania wysyłane do zwykłego adresu IP googleapis.com były automatycznie kierowane do zakresu ograniczonego adresu IP 199.36.153.4/30 (restricted.googleapis.com), w którym działa usługa Gemini. Nie musisz zmieniać żadnych konfiguracji w rozszerzeniach Gemini Code Assist IDE.

W przypadku każdej sieci VPC w projekcie wykonaj te czynności, aby zablokować wychodzący ruch z wyjątkiem ruchu do ograniczonego zakresu adresów IP VIP:

1. Włącz prywatny dostęp do Google w podsieciach, które hostują zasoby sieci VPC.

2. Skonfiguruj reguły zapory sieciowej, aby zapobiec opuszczaniu danych przez sieć VPC.

   1. Utwórz regułę odmowy ruchu wychodzącego, która blokuje cały ruch wychodzący.
   1. Utwórz regułę zezwalającą na ruch wychodzący, która zezwala na ruch do 199.36.153.4/30 na porcie TCP 443. Upewnij się, że reguła zezwalająca na ruch wychodzący ma wyższy priorytet niż reguła odrzucania ruchu wychodzącego, którą właśnie utworzono. Pozwoli to na ruch wychodzący tylko do ograniczonego zakresu VIP.

3. Utwórz zasadę odpowiedzi Cloud DNS.

4. Utwórz regułę zasady odpowiedzi, aby zastąpić *.googleapis.com wartością restricted.googleapis.com z tymi wartościami:

   • Nazwa DNS: *.googleapis.com.

   • Dane lokalne: restricted.googleapis.com.

   • Typ rekordu: A

   • TTL: 300

   • Dane RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   Zakres adresów IP dla restricted.googleapis.com to 199.36.153.4/30.

Po wykonaniu tych czynności żądania pochodzące z sieci VPC nie mogą opuścić tej sieci, co zapobiega wychodzeniu poza granice usługi. Te żądania mogą docierać tylko do interfejsów API i usług Google, które sprawdzają ustawienia usługi VPC, zapobiegając wyciekowi danych przez interfejsy API Google.

Dodatkowe konfiguracje

W zależności od usług Google Cloud używanych w Gemini musisz wziąć pod uwagę te kwestie:

• Klienci podłączeni do obwodu. Urządzenia znajdujące się w obrębie ustawień usługi VPC mają dostęp do wszystkich funkcji Gemini. Możesz też rozszerzyć perymetr do autoryzowanej Cloud VPN lub Cloud Interconnect z sieci zewnętrznej.

• Komputery klienta poza obwodem. Jeśli masz maszyny klienckie poza granicami usługi, możesz przyznać kontrolowany dostęp do usługi Gemini z ograniczonym dostępem.

  • Więcej informacji znajdziesz w artykule Zezwalanie na dostęp do zasobów chronionych spoza granic perymetru.

  • Przykład tworzenia poziomu dostępu w sieci firmowej znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.

  • Zapoznaj się z ograniczeniami związanymi z korzystaniem z Ustawień usługi VPC w Gemini.

• Gemini Code Assist Aby zapewnić zgodność z ustawieniami usługi VPC, sprawdź, czy środowisko IDE lub stacja robocza, której używasz, nie mają dostępu do https://www.google.com/tools/feedback/mobile za pomocą zasad zapory sieciowej.

• Cloud Workstations. Jeśli korzystasz z Cloud Workstations, postępuj zgodnie z instrukcjami w artykule Konfigurowanie ustawień usługi VPC i klastrów prywatnych.

Co dalej?

• Informacje o ofertach zgodności w Google Cloud znajdziesz w Centrum zasobów dotyczących zgodności.