کنترل های سرویس VPC را برای Gemini پیکربندی کنید

این سند نحوه پیکربندی کنترل‌های سرویس VPC را برای پشتیبانی از Gemini ، یک همکار مبتنی بر هوش مصنوعی در Google Cloud، نشان می‌دهد. برای تکمیل این پیکربندی، موارد زیر را انجام دهید:

1. محیط سرویس سازمان خود را برای گنجاندن Gemini به‌روزرسانی کنید. این سند فرض می‌کند که شما از قبل یک محیط سرویس در سطح سازمان دارید. برای اطلاعات بیشتر در مورد محیط‌های سرویس، به جزئیات و پیکربندی محیط سرویس مراجعه کنید.

2. در پروژه‌هایی که دسترسی به Gemini را فعال کرده‌اید، شبکه‌های VPC را طوری پیکربندی کنید که ترافیک خروجی را به جز ترافیک به محدوده‌ی محدود VIP مسدود کنند.

قبل از اینکه شروع کنی

1. مطمئن شوید که Gemini Code Assist برای حساب کاربری و پروژه Google Cloud شما تنظیم شده است.

2. مطمئن شوید که نقش‌های مدیریت هویت و دسترسی لازم برای راه‌اندازی و مدیریت کنترل‌های سرویس VPC را دارید.

3. مطمئن شوید که در سطح سازمان، یک محیط سرویس دارید که بتوانید از آن برای راه‌اندازی Gemini استفاده کنید. اگر در این سطح محیط سرویس ندارید، می‌توانید یکی ایجاد کنید .

Gemini را به محیط سرویس خود اضافه کنید

برای استفاده از کنترل‌های سرویس VPC با Gemini، شما Gemini را به محیط سرویس در سطح سازمان اضافه می‌کنید. محیط سرویس باید شامل تمام سرویس‌هایی باشد که شما با Gemini و سایر سرویس‌های Google Cloud که می‌خواهید محافظت کنید، استفاده می‌کنید.

برای اضافه کردن Gemini به محیط سرویس خود، این مراحل را دنبال کنید:

1. در کنسول گوگل کلود، به صفحه کنترل‌های سرویس VPC بروید.

   به کنترل‌های سرویس VPC بروید

2. سازمان خود را انتخاب کنید.

3. در صفحه کنترل‌های سرویس VPC ، روی نام محیط خود کلیک کنید.

4. روی افزودن منابع کلیک کنید و موارد زیر را انجام دهید:

   1. برای هر پروژه‌ای که Gemini را در آن فعال کرده‌اید، در قسمت افزودن منابع ، روی افزودن پروژه کلیک کنید و سپس موارد زیر را انجام دهید:

   2. در پنجره‌ی «افزودن پروژه‌ها» ، پروژه‌هایی را که می‌خواهید اضافه کنید، انتخاب کنید.

      اگر از Shared VPC استفاده می‌کنید، پروژه میزبان و پروژه‌های سرویس را به محیط سرویس اضافه کنید.

   3. روی افزودن منابع انتخاب‌شده کلیک کنید. پروژه‌های اضافه‌شده در بخش پروژه‌ها نمایش داده می‌شوند.

   4. برای هر شبکه VPC در پروژه‌های خود، در قسمت افزودن منابع ، روی افزودن شبکه VPC کلیک کنید و سپس موارد زیر را انجام دهید:

   5. از لیست پروژه‌ها، روی پروژه‌ای که شامل شبکه VPC است کلیک کنید.

   6. در پنجره‌ی «افزودن منابع» ، کادر انتخاب شبکه‌ی VPC را علامت بزنید.

   7. روی «افزودن منابع انتخاب‌شده» کلیک کنید. شبکه اضافه‌شده در بخش شبکه‌های VPC ظاهر می‌شود.

5. روی «خدمات محدود» کلیک کنید و موارد زیر را انجام دهید:

   1. در قسمت سرویس‌های محدود ، روی افزودن سرویس‌ها کلیک کنید.

   2. در پنجره‌ی «مشخص کردن سرویس‌ها برای محدود کردن »، Gemini for Google Cloud API و Gemini Code Assist API را به عنوان سرویس‌هایی که می‌خواهید در محدوده‌ی امن قرار دهید، انتخاب کنید.

   3. اگر قصد دارید از سفارشی‌سازی کد استفاده کنید، Developer Connect API را نیز انتخاب کنید. برای اطلاعات بیشتر در مورد Developer Connect، به نمای کلی Developer Connect مراجعه کنید.

      برای یادگیری نحوه استفاده از محدودیت‌های سفارشی سرویس سیاست سازمانی برای محدود کردن عملیات خاص در developerconnect.googleapis.com/Connection و developerconnect.googleapis.com/GitRepositoryLink ، به ایجاد سیاست‌های سازمانی سفارشی مراجعه کنید.

   1. روی افزودن n سرویس کلیک کنید، که در آن n تعداد سرویس‌هایی است که در مرحله قبل انتخاب کرده‌اید.

6. اختیاری: اگر توسعه‌دهندگان شما نیاز دارند که از Gemini در محیط افزونه Cloud Code در IDE های خود استفاده کنند، باید سیاست ورود را پیکربندی کنید.

   فعال کردن کنترل‌های سرویس VPC برای Gemini مانع از دسترسی از خارج از محیط می‌شود، از جمله اجرای افزونه‌های Gemini Code Assist IDE از دستگاه‌هایی که در محیط نیستند، مانند لپ‌تاپ‌های شرکت. بنابراین، اگر می‌خواهید از Gemini با افزونه Gemini Code Assist استفاده کنید، این مراحل ضروری هستند.

   1. روی سیاست ورود کلیک کنید.

   2. در پنجره قوانین Ingress ، روی افزودن قانون کلیک کنید.

   3. در ویژگی‌های From مربوط به کلاینت API ، منابعی را که از خارج از محیط نیاز به دسترسی دارند، مشخص کنید. می‌توانید پروژه‌ها، سطوح دسترسی و شبکه‌های VPC را به عنوان منابع مشخص کنید.

   4. در بخش «ویژگی‌های منابع/خدمات Google Cloud» ، نام سرویس Gemini و Gemini Code Assist API را مشخص کنید.

   برای فهرستی از ویژگی‌های قانون ورود، به مرجع قوانین ورود مراجعه کنید.

7. اختیاری: اگر سازمان شما از Access Context Manager استفاده می‌کند و می‌خواهید به توسعه‌دهندگان دسترسی به منابع محافظت‌شده از خارج از محیط را بدهید، سطوح دسترسی را تنظیم کنید:

   1. روی سطوح دسترسی کلیک کنید.

   2. در پنجره Ingress Policy: Access Levels ، فیلد Choose Access Level را انتخاب کنید.

   3. کادرهای انتخاب مربوط به سطوح دسترسی که می‌خواهید برای محیط اعمال کنید را انتخاب کنید.

8. روی ذخیره کلیک کنید.

پس از تکمیل این مراحل، VPC Service Controls تمام فراخوانی‌های Gemini for Google Cloud API را بررسی می‌کند تا اطمینان حاصل شود که منشأ آنها از یک محیط مشترک است.

پیکربندی شبکه‌های VPC

شما باید شبکه‌های VPC خود را پیکربندی کنید تا درخواست‌های ارسالی به IP مجازی معمولی googleapis.com به طور خودکار به محدوده IP مجازی محدود (VIP) ، 199.36.153.4/30 ( restricted.googleapis.com )، جایی که سرویس Gemini شما در حال ارائه خدمات است، هدایت شوند. نیازی به تغییر هیچ پیکربندی در افزونه‌های Gemini Code Assist IDE ندارید.

برای هر شبکه VPC در پروژه خود، این مراحل را دنبال کنید تا ترافیک خروجی را مسدود کنید، به جز ترافیک به محدوده VIP محدود شده:

1. دسترسی خصوصی گوگل (Private Google Access) را در زیرشبکه‌هایی که منابع شبکه VPC شما را میزبانی می‌کنند، فعال کنید.

2. قوانین فایروال را طوری پیکربندی کنید که از خروج داده‌ها از شبکه VPC جلوگیری شود.

   1. یک قانون رد خروج ایجاد کنید که تمام ترافیک خروجی را مسدود کند.
   1. یک قانون اجازه خروج ایجاد کنید که ترافیک را به 199.36.153.4/30 روی پورت TCP 443 مجاز کند. مطمئن شوید که قانون اجازه خروج قبل از قانون رد خروج که اخیراً ایجاد کرده‌اید، اولویت دارد - این قانون فقط اجازه خروج به محدوده محدود VIP را می‌دهد.

3. یک سیاست پاسخگویی Cloud DNS ایجاد کنید .

4. یک قانون برای سیاست پاسخ ایجاد کنید تا *.googleapis.com را به restricted.googleapis.com با مقادیر زیر تبدیل کند:

   • نام DNS: *.googleapis.com.

   • داده‌های محلی: restricted.googleapis.com.

   • نوع رکورد: A

   • TTL: 300

   • داده‌های RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   محدوده آدرس IP برای restricted.googleapis.com 199.36.153.4/30 ‎ است.

پس از تکمیل این مراحل، درخواست‌هایی که از داخل شبکه VPC سرچشمه می‌گیرند، نمی‌توانند از شبکه VPC خارج شوند و از خروج آنها به خارج از محیط سرویس جلوگیری می‌شود. این درخواست‌ها فقط می‌توانند به APIهای گوگل و سرویس‌هایی که کنترل‌های سرویس VPC را بررسی می‌کنند، برسند و از خروج از طریق APIهای گوگل جلوگیری می‌شود.

تنظیمات اضافی

بسته به محصولات گوگل کلود که با Gemini استفاده می‌کنید، باید موارد زیر را در نظر بگیرید:

• دستگاه‌های کلاینت متصل به محیط. دستگاه‌هایی که درون محیط کنترل‌های سرویس VPC هستند می‌توانند به تمام تجربیات Gemini دسترسی داشته باشند. همچنین می‌توانید محیط را از یک شبکه خارجی به یک Cloud VPN یا Cloud Interconnect مجاز گسترش دهید.

• دستگاه‌های کلاینت خارج از محیط پیرامونی. وقتی دستگاه‌های کلاینت خارج از محیط پیرامونی سرویس دارید، می‌توانید دسترسی کنترل‌شده‌ای به سرویس محدود شده‌ی Gemini اعطا کنید.

  • برای اطلاعات بیشتر، به «اجازه دسترسی به منابع محافظت‌شده از خارج از یک محیط» مراجعه کنید.

  • برای مثالی از نحوه ایجاد سطح دسترسی در یک شبکه شرکتی، به محدود کردن دسترسی در یک شبکه شرکتی مراجعه کنید.

  • هنگام استفاده از کنترل‌های سرویس VPC با Gemini ، محدودیت‌های آن را بررسی کنید.

• دستیار کد Gemini. برای انطباق با کنترل‌های سرویس VPC، مطمئن شوید که IDE یا ایستگاه کاری که استفاده می‌کنید از طریق سیاست‌های فایروال به https://www.google.com/tools/feedback/mobile دسترسی ندارد.

  • دستیار کد Gemini در GitHub. اگر می‌خواهید بهبود کیفیت پاسخ را فعال کنید، نباید پروژه Google Cloud خود را در محیط سرویس VPC Service Controls قرار دهید.

• ایستگاه‌های کاری ابری. اگر از ایستگاه‌های کاری ابری استفاده می‌کنید، دستورالعمل‌های موجود در بخش «پیکربندی کنترل‌های سرویس VPC و خوشه‌های خصوصی» را دنبال کنید.

قدم بعدی چیست؟

• برای اطلاعات بیشتر در مورد پیشنهادات انطباق با قوانین در Google Cloud، به مرکز منابع انطباق مراجعه کنید.