Gemini için VPC Hizmet Kontrolleri'ni yapılandırma

Bu belgede, Google Cloud'da yapay zeka destekli bir iş ortağı olan Gemini'yi desteklemek için VPC Hizmet Kontrolleri'nin nasıl yapılandırılacağı gösterilmektedir. Bu yapılandırmayı tamamlamak için aşağıdakileri yapmanız gerekir:

1. Kuruluşunuzun hizmet çevresini Gemini'yi içerecek şekilde güncelleyin. Bu dokümanda, kuruluş düzeyinde bir hizmet çevreniz olduğu varsayılmaktadır. Hizmet çevreleri hakkında daha fazla bilgi için Hizmet çevresi ayrıntıları ve yapılandırması başlıklı makaleyi inceleyin.

2. Gemini'ye erişimi etkinleştirdiğiniz projelerde, VPC ağlarını, kısıtlanmış VIP aralığına giden trafik hariç giden trafiği engelleyecek şekilde yapılandırın.

Başlamadan önce

1. Gemini Code Assist'in Google Cloud kullanıcı hesabınız ve projeniz için ayarlandığından emin olun.

2. VPC Hizmet Kontrolleri'ni ayarlamak ve yönetmek için gerekli Kimlik ve Erişim Yönetimi rollerine sahip olduğunuzdan emin olun.

3. Gemini'yi ayarlamak için kullanabileceğiniz kuruluş düzeyinde bir hizmet çevreniz olduğundan emin olun. Bu düzeyde hizmet çevreniz yoksa bir hizmet çevresi oluşturabilirsiniz.

Gemini'yi hizmet çevrenize ekleme

VPC Hizmet Kontrolleri'ni Gemini ile kullanmak için Gemini'yi kuruluş düzeyinde hizmet çevresine eklemeniz gerekir. Hizmet çevresi, Gemini ile kullandığınız tüm hizmetleri ve korumak istediğiniz diğer Google Cloud hizmetlerini içermelidir.

Gemini'yi hizmet çevrenize eklemek için aşağıdaki adımları uygulayın:

1. Google Cloud Console'da VPC Hizmet Kontrolleri sayfasına gidin.

   VPC Hizmet Kontrolleri'ne gidin

2. Kuruluşunuzu seçin.

3. VPC Hizmet Kontrolleri sayfasında, çevrenizin adını tıklayın.

4. Kaynak Ekle'yi tıklayın ve aşağıdakileri yapın:

   1. Gemini'yi etkinleştirdiğiniz her proje için Kaynak ekle bölmesinde Proje ekle'yi tıklayın ve aşağıdakileri yapın:

   2. Proje ekle iletişim kutusunda, eklemek istediğiniz projeleri seçin.

      Paylaşılan VPC kullanıyorsanız ana makine projesini ve hizmet projelerini hizmet çevresine ekleyin.

   3. Seçilen kaynakları ekle'yi tıklayın. Eklenen projeler Projeler bölümünde görünür.

   4. Projelerinizdeki her VPC ağı için Kaynak ekle bölmesinde VPC ağı ekle'yi tıklayın ve ardından aşağıdakileri yapın:

   5. Proje listesinde, VPC ağını içeren projeyi tıklayın.

   6. Kaynak ekle iletişim kutusunda VPC ağının onay kutusunu işaretleyin.

   7. Seçilen kaynakları ekle'yi tıklayın. Eklenen ağ, VPC ağları bölümünde görünür.

5. Kısıtlanmış Hizmetler'i tıklayın ve aşağıdakileri yapın:

   1. Kısıtlanmış Hizmetler bölmesinde Hizmet ekle'yi tıklayın.

   2. Kısıtlanacak hizmetleri belirtin iletişim kutusunda, çevre içinde güvenliğini sağlamak istediğiniz hizmetler olarak Google Cloud için Gemini API ve Gemini Code Assist API'yi seçin.

   3. Kod özelleştirme özelliğini kullanmayı planlıyorsanız Developer Connect API'yi de seçin. Developer Connect hakkında daha fazla bilgi için Developer Connect'e genel bakış başlıklı makaleyi inceleyin.

      developerconnect.googleapis.com/Connection ve developerconnect.googleapis.com/GitRepositoryLink'daki belirli işlemleri kısıtlamak için Kuruluş Politikası Hizmeti özel kısıtlamalarını nasıl kullanacağınızı öğrenmek isterseniz Özel kuruluş politikaları oluşturma başlıklı makaleyi inceleyin.

   1. n hizmet ekle'yi tıklayın. Burada n, önceki adımda seçtiğiniz hizmet sayısıdır.

6. İsteğe bağlı: Geliştiricilerin, IDE'lerindeki Cloud Code eklentisinden Gemini'yi çevre içinde kullanması gerekiyorsa giriş politikasını yapılandırmanız gerekir.

   Gemini için VPC Hizmet Kontrolleri'ni etkinleştirmek, şirket dizüstü bilgisayarları gibi çevre dışındaki makinelerden Gemini Code Assist IDE uzantılarının çalıştırılması da dahil olmak üzere çevre dışından tüm erişimleri engeller. Bu nedenle, Gemini'yi Gemini Code Assist eklentisiyle kullanmak istiyorsanız bu adımları uygulamanız gerekir.

   1. Giriş politikası'nı tıklayın.

   2. Giriş kuralları bölmesinde Kural ekle'yi tıklayın.

   3. API istemcisinin FROM özellikleri bölümünde, çevrenin dışından erişmesi gereken kaynakları belirtin. Kaynak olarak projeler, erişim düzeyleri ve VPC ağları belirtebilirsiniz.

   4. Google Cloud kaynaklarının/hizmetlerinin TO özellikleri bölümünde, Gemini ve Gemini Code Assist API'nin hizmet adını belirtin.

   Giriş kuralı özelliklerinin listesi için Giriş kuralları referansı başlıklı makaleyi inceleyin.

7. İsteğe bağlı: Kuruluşunuz Bağlam Erişim Yöneticisi kullanıyorsa ve geliştiricilere çevrenin dışından korumalı kaynaklara erişim sağlamak istiyorsanız erişim düzeylerini ayarlayın:

   1. Erişim Düzeyleri'ni tıklayın.

   2. Giriş Politikası: Erişim Seviyeleri bölmesinde Erişim Düzeyi Seç alanını seçin.

   3. Çevre içine uygulamak istediğiniz erişim düzeylerine karşılık gelen onay kutularını işaretleyin.

8. Kaydet'i tıklayın.

Bu adımları tamamladıktan sonra VPC Hizmet Kontrolleri, Google Cloud için Gemini API'ye yapılan tüm çağrıların aynı çevreden geldiğinden emin olmak için bu çağrıları kontrol eder.

VPC ağlarını yapılandırma

VPC ağlarınızı, normal googleapis.com sanal IP'ye gönderilen isteklerin Gemini hizmetinizin yayınlandığı kısıtlanmış sanal IP (VIP) aralığına, 199.36.153.4/30 (restricted.googleapis.com) otomatik olarak yönlendirilecek şekilde yapılandırmanız gerekir. Gemini Code Assist IDE uzantılarında herhangi bir yapılandırma değişikliği yapmanız gerekmez.

Projenizdeki her VPC ağı için, kısıtlanmış VIP aralığına giden trafik hariç giden trafiği engellemek üzere aşağıdaki adımları uygulayın:

1. VPC ağ kaynaklarınızı barındıran alt ağlarda Özel Google Erişimi'ni etkinleştirin.

2. Verilerin VPC ağını terk etmesini önlemek için güvenlik duvarı kurallarını yapılandırın.

   1. Tüm giden trafiği engelleyen bir çıkış reddetme kuralı oluşturun.
   1. 443 TCP bağlantı noktasında 199.36.153.4/30 adresine giden trafiğe izin veren bir çıkış izni kuralı oluşturun. Çıkışa izin ver kuralı, yeni oluşturduğunuz çıkışı reddet kuralından öncelikli olmalıdır. Bu, yalnızca kısıtlanmış VIP aralığına çıkışa izin verir.

3. Cloud DNS yanıt politikası oluşturun.

4. Aşağıdaki değerlerle *.googleapis.com değerini restricted.googleapis.com olarak çözmek için yanıt politikası kuralı oluşturun:

   • DNS adı: *.googleapis.com.

   • Yerel veriler: restricted.googleapis.com.

   • Kayıt türü: A

   • TTL: 300

   • RR verileri: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   restricted.googleapis.com için IP adresi aralığı 199.36.153.4/30'dur.

Bu adımları tamamladıktan sonra, VPC ağının içinden gelen istekler VPC ağını terk edemez. Bu da hizmet çevresinin dışına çıkışı engeller. Bu istekler yalnızca VPC Hizmet Kontrolleri'ni kontrol eden Google API'lerine ve hizmetlerine ulaşabilir. Bu sayede, Google API'leri üzerinden veri sızıntısı önlenir.

Ek yapılandırmalar

Gemini ile kullandığınız Google Cloud ürünlerine bağlı olarak aşağıdakileri göz önünde bulundurmanız gerekir:

• Çevreye bağlı istemci makineler. VPC Hizmet Kontrolleri çevresi içindeki makineler tüm Gemini deneyimlerine erişebilir. Ayrıca, harici bir ağdan yetkili bir Cloud VPN veya Cloud Interconnect'e kadar olan çevreyi de genişletebilirsiniz.

• Çevrenin dışındaki istemci makineleri. Hizmet çevresinin dışında istemci makineleriniz varsa kısıtlanmış Gemini hizmetine kontrollü erişim izni verebilirsiniz.

  • Daha fazla bilgi için Korunan kaynaklara çevre dışından erişime izin verme başlıklı makaleyi inceleyin.

  • Kurumsal bir ağda erişim düzeyi oluşturma örneği için Kurumsal ağda erişimi sınırlama başlıklı makaleyi inceleyin.

  • VPC Hizmet Kontrolleri'ni Gemini ile kullanırken sınırlamaları inceleyin.

• Gemini Code Assist VPC Hizmet Kontrolleri'ne uygunluk için, kullandığınız IDE veya iş istasyonunun güvenlik duvarı politikaları aracılığıyla https://www.google.com/tools/feedback/mobile'e erişemediğinden emin olun.

• Cloud Workstations Cloud Workstations kullanıyorsanız VPC Hizmet Kontrolleri ve özel kümeleri yapılandırma bölümündeki talimatları uygulayın.

Sırada ne var?

• Google Cloud'daki uygunluk teklifleri hakkında bilgi edinmek için Uygunluk kaynak merkezi başlıklı makaleyi inceleyin.