ضبط عناصر التحكّم في خدمة سحابة VPC لتطبيق Gemini

يوضّح هذا المستند كيفية ضبط عناصر التحكّم في خدمة سحابة VPC لإتاحة Gemini، وهو مساعد مستند إلى الذكاء الاصطناعي في Google Cloud. لإكمال عملية الإعداد هذه، عليك تنفيذ ما يلي:

1. عدِّل حيّز الخدمة الخاص بمؤسستك ليشمل Gemini. يفترض هذا المستند أنّ لديك حاليًا محيط خدمة على مستوى المؤسسة. لمزيد من المعلومات عن حدود الخدمة، يُرجى الاطّلاع على تفاصيل حدود الخدمة وإعداداتها.

2. في المشاريع التي فعّلت فيها إمكانية الوصول إلى Gemini، اضبط شبكات VPC لحظر الزيارات الصادرة باستثناء الزيارات إلى نطاق عناوين IP الافتراضية المحظورة.

قبل البدء

1. تأكَّد من إعداد Gemini Code Assist لحساب المستخدم ومشروعك على Google Cloud.

2. تأكَّد من توفّر أدوار إدارة الهوية وإمكانية الوصول المطلوبة لإعداد عناصر التحكّم في خدمة VPC وإدارتها.

3. تأكَّد من توفّر محيط خدمة على مستوى المؤسسة يمكنك استخدامه لإعداد Gemini. إذا لم يكن لديك محيط خدمة على هذا المستوى، يمكنك إنشاء محيط خدمة.

إضافة Gemini إلى حدود الخدمة

لاستخدام عناصر التحكّم في خدمة سحابة VPC مع Gemini، عليك إضافة Gemini إلى محيط الخدمة على مستوى المؤسسة. يجب أن يشمل محيط الخدمة جميع الخدمات التي تستخدمها مع Gemini وخدمات Google Cloud الأخرى التي تريد حمايتها.

لإضافة Gemini إلى حدود الخدمة، اتّبِع الخطوات التالية:

1. في Google Cloud Console، انتقِل إلى صفحة VPC Service Controls.

   الانتقال إلى "عناصر التحكّم في خدمة سحابة VPC"

2. اختَر مؤسستك.

3. في صفحة عناصر التحكّم في خدمة سحابة VPC، انقر على اسم محيطك.

4. انقر على إضافة مراجع ونفِّذ ما يلي:

   1. بالنسبة إلى كل مشروع فعّلت فيه Gemini، انقر على إضافة مشروع في لوحة إضافة مراجع، ثم اتّبِع الخطوات التالية:

   2. في مربّع الحوار إضافة مشاريع، اختَر المشاريع التي تريد إضافتها.

      في حال استخدام شبكة VPC مشتركة، أضِف المشروع المضيف ومشاريع الخدمة إلى محيط الخدمة.

   3. انقر على إضافة المراجع المحدّدة. تظهر المشاريع المُضافة في قسم المشاريع.

   4. بالنسبة إلى كل شبكة VPC في مشاريعك، انقر على إضافة موارد في اللوحة، ثم انقر على إضافة شبكة VPC، ونفِّذ ما يلي:

   5. من قائمة المشاريع، انقر على المشروع الذي يحتوي على شبكة السحابة الخاصة الافتراضية (VPC).

   6. في مربّع الحوار إضافة موارد، ضَع علامة في مربّع الاختيار الخاص بشبكة VPC.

   7. انقر على إضافة المراجع المحدّدة. تظهر الشبكة المُضافة في قسم شبكات VPC.

5. انقر على الخدمات المحظورة ونفِّذ ما يلي:

   1. في لوحة الخدمات المحظورة، انقر على إضافة خدمات.

   2. في مربّع الحوار تحديد الخدمات التي تريد حظرها، اختَر Gemini for Google Cloud API وGemini Code Assist API كخدمات تريد تأمينها ضمن المحيط.

   3. إذا كنت تخطّط لاستخدام تخصيص الرمز، اختَر Developer Connect API أيضًا. لمزيد من المعلومات حول Developer Connect، يمكنك الاطّلاع على نظرة عامة على Developer Connect.

      للتعرّف على كيفية استخدام القيود المخصّصة في خدمة Organization Policy Service لحظر عمليات معيّنة على developerconnect.googleapis.com/Connection وdeveloperconnect.googleapis.com/GitRepositoryLink، راجِع مقالة إنشاء سياسات مؤسسة مخصّصة.

   1. انقر على إضافة n خدمة، حيث يمثّل n عدد الخدمات التي اخترتها في الخطوة السابقة.

6. اختياري: إذا كان المطوّرون بحاجة إلى استخدام Gemini ضمن المحيط من خلال إضافة Cloud Code في بيئات التطوير المتكاملة، عليك ضبط سياسة الدخول.

   يؤدي تفعيل عناصر التحكّم في خدمة VPC لـ Gemini إلى منع جميع عمليات الوصول من خارج المحيط، بما في ذلك تشغيل إضافات Gemini Code Assist في بيئة التطوير المتكاملة (IDE) من أجهزة خارج المحيط، مثل أجهزة الكمبيوتر المحمول الخاصة بالشركة. لذلك، يجب اتّباع هذه الخطوات إذا أردت استخدام Gemini مع إضافة Gemini Code Assist.

   1. انقر على سياسة الدخول.

   2. في لوحة قواعد الدخول، انقر على إضافة قاعدة.

   3. في من سمات عميل واجهة برمجة التطبيقات، حدِّد المصادر من خارج المحيط التي تتطلّب الوصول. يمكنك تحديد المشاريع ومستويات الوصول وشبكات VPC كمصادر.

   4. في سمات موارد/خدمات Google Cloud، حدِّد اسم خدمة Gemini وGemini Code Assist API.

   للاطّلاع على قائمة بسمات قواعد الدخول، راجِع مرجع قواعد الدخول.

7. اختياري: إذا كانت مؤسستك تستخدم Access Context Manager وأردت منح المطوّرين إذن الوصول إلى الموارد المحمية من خارج المحيط، حدِّد مستويات الوصول:

   1. انقر على مستويات الوصول.

   2. في لوحة سياسة الدخول: مستويات الوصول، انقر على الحقل اختيار مستوى الوصول.

   3. ضَع علامة في مربّعات الاختيار المقابلة لمستويات الوصول التي تريد تطبيقها على المحيط.

8. انقر على حفظ.

بعد إكمال هذه الخطوات، تتحقّق خدمة VPC Service Controls من جميع الطلبات الموجّهة إلى واجهة برمجة التطبيقات Gemini في Google Cloud للتأكّد من أنّها صادرة من داخل المحيط نفسه.

إعداد شبكات VPC

عليك ضبط إعدادات شبكات السحابة الخاصة الافتراضية (VPC) لكي يتم تلقائيًا توجيه الطلبات المرسَلة إلى عنوان IP الافتراضي العادي googleapis.com إلى نطاق عنوان IP الافتراضي (VIP) المحظور، 199.36.153.4/30 (restricted.googleapis.com)، حيث تقدّم خدمة Gemini خدماتها. ليس عليك تغيير أي إعدادات في إضافات بيئة التطوير المتكاملة (IDE) الخاصة بـ Gemini Code Assist.

بالنسبة إلى كل شبكة VPC في مشروعك، اتّبِع الخطوات التالية لحظر حركة البيانات الصادرة باستثناء حركة البيانات المتّجهة إلى نطاق عناوين IP الافتراضية المحظورة:

1. فعِّل الوصول الخاص إلى Google على الشبكات الفرعية التي تستضيف موارد شبكة السحابة الإلكترونية الخاصة الافتراضية (VPC).

2. ضبط قواعد جدار الحماية لمنع مغادرة البيانات لشبكة VPC

   1. أنشئ قاعدة رفض خروج تحظر جميع الزيارات الصادرة.
   1. أنشئ قاعدة خروج مسموح بها تسمح بنقل البيانات إلى 199.36.153.4/30 على منفذ TCP‏ 443. تأكَّد من أنّ قاعدة السماح بالخروج لها أولوية أعلى من قاعدة رفض الخروج التي أنشأتها للتو، ما يتيح الخروج فقط إلى نطاق VIP المحظور.

3. إنشاء سياسة استجابة في Cloud DNS

4. إنشاء قاعدة لسياسة الردود لتحويل *.googleapis.com إلى restricted.googleapis.com باستخدام القيم التالية:

   • اسم نظام أسماء النطاقات: *.googleapis.com.

   • البيانات المحلية: restricted.googleapis.com.

   • نوع السجل: A

   • مدة البقاء (TTL): 300

   • بيانات RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   نطاق عناوين IP الخاص بـ restricted.googleapis.com هو 199.36.153.4/30.

بعد إكمال هذه الخطوات، لن تتمكّن الطلبات الواردة من داخل شبكة السحابة الخاصة الافتراضية من مغادرة شبكة السحابة الخاصة الافتراضية، ما يمنع الخروج من حدود الخدمة. لا يمكن أن تصل هذه الطلبات إلا إلى واجهات برمجة التطبيقات والخدمات من Google التي تتحقّق من عناصر التحكّم في خدمة VPC، ما يمنع تسريب البيانات من خلال واجهات برمجة التطبيقات من Google.

إعدادات إضافية

استنادًا إلى منتجات Google Cloud التي تستخدمها مع Gemini، يجب مراعاة ما يلي:

• الأجهزة العميلة المتصلة بالمحيط: يمكن للأجهزة التي تقع ضمن محيط VPC Service Controls الوصول إلى جميع تجارب Gemini. يمكنك أيضًا توسيع المحيط ليشمل شبكة VPN على Cloud أو Cloud Interconnect معتمدًا من شبكة خارجية.

• الأجهزة العميلة خارج المحيط: عندما تكون لديك أجهزة عملاء خارج حدود الخدمة، يمكنك منح إذن وصول مُتحكَّم به إلى خدمة Gemini المحظورة.

  • لمزيد من المعلومات، يُرجى الاطّلاع على السماح بالوصول إلى الموارد المحمية من خارج المحيط.

  • للاطّلاع على مثال حول كيفية إنشاء مستوى وصول على شبكة الشركة، يُرجى الاطّلاع على تقييد الوصول على شبكة الشركة.

  • راجِع القيود عند استخدام عناصر التحكّم في خدمة سحابة VPC مع Gemini.

• ‫Gemini Code Assist للامتثال لـ VPC Service Controls، تأكَّد من أنّ بيئة التطوير المتكاملة أو محطة العمل التي تستخدمها لا يمكنها الوصول إلى https://www.google.com/tools/feedback/mobile من خلال سياسات جدار الحماية.

  • ‫Gemini Code Assist على GitHub إذا أردت تفعيل خيار تحسين جودة الردود، يجب عدم وضع مشروعك على Google Cloud ضمن حدود خدمة "عناصر التحكّم في خدمة السحابة الافتراضية الخاصة".

• ‫Cloud Workstations في حال استخدام Cloud Workstations، اتّبِع التعليمات الواردة في ضبط عناصر التحكّم في خدمة سحابة VPC والمجموعات الخاصة.

الخطوات التالية

• للحصول على معلومات حول عروض الامتثال في Google Cloud، يُرجى الاطّلاع على مركز مراجع الامتثال.