Настройка элементов управления услугами VPC для Gemini

В этом документе показано, как настроить элементы управления услугами VPC для поддержки Gemini , системы совместной работы на базе искусственного интеллекта в Google Cloud. Чтобы завершить эту настройку, выполните следующие действия:

  1. Обновите периметр обслуживания вашей организации, включив в него Gemini. В этом документе предполагается, что у вас уже есть периметр обслуживания на уровне организации. Дополнительные сведения о периметрах службы см. в разделе Сведения и конфигурация периметра службы .

  2. В проектах, в которых вы включили доступ к Gemini, настройте сети VPC для блокировки исходящего трафика, за исключением трафика в ограниченный диапазон VIP.

Прежде чем начать

  1. Убедитесь, что Gemini Code Assist настроен для вашей учетной записи пользователя и проекта Google Cloud.

  2. Убедитесь, что у вас есть необходимые роли управления идентификацией и доступом для настройки и администрирования элементов управления службами VPC.

  3. Убедитесь, что у вас есть периметр службы на уровне организации, который вы можете использовать для настройки Gemini. Если у вас нет периметра обслуживания на этом уровне, вы можете создать его .

Добавьте Gemini в периметр вашего сервиса

Чтобы использовать элементы управления сервисами VPC с Gemini, вы добавляете Gemini в периметр сервиса на уровне организации. Периметр службы должен включать все службы, которые вы используете с Gemini, и другие службы Google Cloud, которые вы хотите защитить.

Чтобы добавить Gemini в периметр вашего сервиса, выполните следующие действия:

  1. В консоли Google Cloud перейдите на страницу управления услугами VPC .

    Перейдите в раздел «Управление услугами VPC».

  2. Выберите свою организацию.

  3. На странице управления услугами VPC щелкните имя своего периметра.

  4. Нажмите «Добавить ресурсы» и выполните следующие действия:

    1. Для каждого проекта, в котором вы включили Gemini, на панели «Добавить ресурсы» нажмите «Добавить проект» , а затем выполните следующие действия:

    2. В диалоговом окне «Добавить проекты» выберите проекты, которые вы хотите добавить.

      Если вы используете общий VPC , добавьте хост-проект и проекты служб в периметр службы.

    3. Нажмите Добавить выбранные ресурсы . Добавленные проекты отображаются в разделе «Проекты» .

    4. Для каждой сети VPC в ваших проектах на панели «Добавить ресурсы » нажмите «Добавить сеть VPC» , а затем выполните следующие действия:

    5. В списке проектов выберите проект, содержащий сеть VPC.

    6. В диалоговом окне «Добавление ресурсов » установите флажок сети VPC.

    7. Нажмите Добавить выбранные ресурсы . Добавленная сеть появится в разделе Сети VPC .

  5. Нажмите «Ограниченные службы» и выполните следующие действия:

    1. На панели «Ограниченные службы» нажмите «Добавить службы» .

    2. В диалоговом окне « Укажите службы для ограничения» выберите Gemini для Google Cloud API и Gemini Code Assist API в качестве служб, которые вы хотите защитить в пределах периметра.

    3. Если вы планируете использовать настройку кода , выберите также Developer Connect API . Дополнительные сведения о Developer Connect см. в разделе Обзор Developer Connect .

      Чтобы узнать, как использовать настраиваемые ограничения Службы политики организации для ограничения определенных операций на developerconnect.googleapis.com/Connection и developerconnect.googleapis.com/GitRepositoryLink , см. раздел Создание настраиваемых политик организации .

    1. Нажмите «Добавить n служб» , где n — количество служб, выбранных вами на предыдущем шаге.

  6. Необязательно: если вашим разработчикам необходимо использовать Gemini в пределах периметра плагина Cloud Code в своих IDE, вам необходимо настроить политику входящего трафика .

    Включение управления службами VPC для Gemini предотвращает любой доступ из-за пределов периметра, включая запуск расширений Gemini Code Assist IDE с компьютеров, находящихся за пределами периметра, например ноутбуков компании. Следовательно, эти шаги необходимы, если вы хотите использовать Gemini с плагином Gemini Code Assist.

    1. Нажмите Политика входящего трафика .

    2. На панели «Правила входящего трафика» нажмите «Добавить правило» .

    3. В атрибутах From API-клиента укажите источники за пределами периметра, к которым требуется доступ. В качестве источников можно указать проекты, уровни доступа и сети VPC.

    4. В атрибутах ресурсов/сервисов Google Cloud укажите имя сервиса Gemini и Gemini Code Assist API.

    Список атрибутов входящих правил см. в разделе Справочник по входящим правилам .

  7. Необязательно: если ваша организация использует Access Context Manager и вы хотите предоставить разработчикам доступ к защищенным ресурсам за пределами периметра, установите уровни доступа:

    1. Нажмите «Уровни доступа» .

    2. На панели «Политика входящего трафика: уровни доступа» выберите поле «Выбрать уровень доступа» .

    3. Установите флажки, соответствующие уровням доступа, которые вы хотите применить к периметру.

  8. Нажмите Сохранить .

После того, как вы выполните эти шаги, VPC Service Controls проверяет все вызовы Gemini for Google Cloud API, чтобы убедиться, что они исходят из одного и того же периметра.

Настройка сетей VPC

Вам необходимо настроить сети VPC так, чтобы запросы, отправляемые на обычный виртуальный IP-адрес googleapis.com автоматически направлялись в диапазон ограниченных виртуальных IP-адресов (VIP) 199.36.153.4/30 ( restricted.googleapis.com ), где обслуживается ваша служба Gemini. Вам не нужно изменять какие-либо конфигурации в расширениях Gemini Code Assist IDE.

Для каждой сети VPC в вашем проекте выполните следующие действия, чтобы заблокировать исходящий трафик, за исключением трафика в ограниченный диапазон VIP:

  1. Включите частный доступ Google в подсетях, в которых размещены сетевые ресурсы VPC.

  2. Настройте правила брандмауэра , чтобы предотвратить выход данных из сети VPC.

    1. Создайте правило запрета исходящего трафика, которое блокирует весь исходящий трафик.
    1. Создайте правило разрешения исходящего трафика, которое разрешает трафик на 199.36.153.4/30 через TCP-порт 443 . Убедитесь, что правило разрешения выхода имеет приоритет перед только что созданным правилом запрета выхода — это разрешает выход только в ограниченный диапазон VIP.

  3. Создайте политику ответа Cloud DNS .

  4. Создайте правило для политики ответа , которое будет разрешать *.googleapis.com в restricted.googleapis.com со следующими значениями:

    • DNS-имя: *.googleapis.com.

    • Локальные данные: restricted.googleapis.com.

    • Тип записи: A

    • ТТЛ: 300

    • Данные RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    Диапазон IP-адресов для restricted.googleapis.com199.36.153.4/30 .

После выполнения этих шагов запросы, исходящие из сети VPC, не смогут покинуть сеть VPC, что предотвращает выход за пределы периметра службы. Эти запросы могут поступать только к API и службам Google, которые проверяют элементы управления услугами VPC, предотвращая утечку данных через API Google.

Дополнительные конфигурации

В зависимости от продуктов Google Cloud, которые вы используете с Gemini, вы должны учитывать следующее:

  • Клиентские машины, подключенные к периметру. Компьютеры, находящиеся внутри периметра VPC Service Controls, могут получить доступ ко всем возможностям Gemini. Вы также можете расширить периметр до авторизованного Cloud VPN или Cloud Interconnect из внешней сети.

  • Клиентские машины за периметром. Если у вас есть клиентские компьютеры за пределами периметра службы, вы можете предоставить контролируемый доступ к ограниченной службе Gemini.

  • Помощь по коду Близнецов. Для обеспечения соответствия требованиям управления службами VPC убедитесь, что используемая вами IDE или рабочая станция не имеет доступа к https://www.google.com/tools/feedback/mobile через политики брандмауэра.

  • Облачные рабочие станции. Если вы используете облачные рабочие станции, следуйте инструкциям в разделе Настройка элементов управления службами VPC и частных кластеров .

Что дальше