Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurare i Controlli di servizio VPC per Gemini

Questo documento mostra come configurare i Controlli di servizio VPC per supportare Gemini, un collaboratore basato sull'AI in Google Cloud. Per completare questa configurazione, procedi nel seguente modo:

Aggiorna il perimetro di servizio della tua organizzazione in modo da includere Gemini. Questo documento presuppone che tu abbia già un perimetro di servizio a livello di organizzazione. Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione del perimetro di servizio.
Nei progetti in cui hai abilitato l'accesso a Gemini, configura le reti VPC in modo da bloccare il traffico in uscita, ad eccezione del traffico verso l'intervallo VIP con limitazioni.

Prima di iniziare

Assicurati che Gemini Code Assist sia configurato per il tuo account utente e il tuo progetto Google Cloud.
Assicurati di disporre dei ruoli di Identity and Access Management necessari per configurare e amministrare i Controlli di servizio VPC.
Assicurati di avere un perimetro di servizio a livello di organizzazione che puoi utilizzare per configurare Gemini. Se non hai un perimetro di servizio a questo livello, puoi crearne uno.

Aggiungi Gemini al perimetro di servizio

Per utilizzare i Controlli di servizio VPC con Gemini, aggiungi Gemini al perimetro di servizio a livello di organizzazione. Il perimetro di servizio deve includere tutti i servizi che utilizzi con Gemini e altri servizi Google Cloud che vuoi proteggere.

Per aggiungere Gemini al perimetro di servizio:

Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC
Seleziona la tua organizzazione.
Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro.
Fai clic su Aggiungi risorse ed esegui le seguenti operazioni:
1. Per ogni progetto in cui hai abilitato Gemini, nel riquadro Aggiungi risorse, fai clic su Aggiungi progetto, quindi:
2. Nella finestra di dialogo Aggiungi progetti, seleziona i progetti che vuoi aggiungere.
  
  Se utilizzi VPC condiviso, aggiungi il progetto host e i progetti di servizio al perimetro di servizio.
3. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.
4. Per ogni rete VPC nei tuoi progetti, nel riquadro Add resources, fai clic su Add VPC network, quindi:
5. Nell'elenco dei progetti, fai clic sul progetto che contiene la rete VPC.
6. Nella finestra di dialogo Aggiungi risorse, seleziona la casella di controllo della rete VPC.
7. Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nella sezione Reti VPC.
Fai clic su Servizi con limitazioni ed esegui le seguenti operazioni:
1. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.
2. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Gemini for Google Cloud e API Gemini Code Assist come servizi che vuoi proteggere all'interno del perimetro.
3. Se prevedi di utilizzare la personalizzazione del codice, seleziona anche API Developer Connect. Per saperne di più su Developer Connect, consulta la panoramica di Developer Connect.
  
  Per scoprire come utilizzare i vincoli personalizzati del servizio Policy dell'organizzazione per limitare operazioni specifiche su developerconnect.googleapis.com/Connection e developerconnect.googleapis.com/GitRepositoryLink, consulta Creare policy dell'organizzazione personalizzate.
Nota: ti consigliamo di limitare tutti i servizi quando crei un perimetro per mitigare il rischio di esfiltrazione di dati dai servizi Google Cloud.
1. Fai clic su Aggiungi n servizi, dove n è il numero di servizi selezionati nel passaggio precedente.
(Facoltativo) Se gli sviluppatori devono utilizzare Gemini all'interno del perimetro dal plug-in Cloud Code nei loro IDE, devi configurare il criterio in entrata.

L'abilitazione dei Controlli di servizio VPC per Gemini impedisce l'accesso dall'esterno del perimetro, inclusa l'esecuzione delle estensioni IDE di Gemini Code Assist da macchine non incluse nel perimetro, come i laptop aziendali. Pertanto, questi passaggi sono necessari se vuoi utilizzare Gemini con il plug-in Gemini Code Assist.
1. Fai clic su Criterio in entrata.
2. Nel riquadro Regole in entrata, fai clic su Aggiungi regola.
3. In Dagli attributi del client API, specifica le origini esterne al perimetro che richiedono l'accesso. Puoi specificare progetti, livelli di accesso e reti VPC come origini.
4. In Agli attributi delle risorse/dei servizi Google Cloud, specifica il nome del servizio dell'API Gemini e Gemini Code Assist.
Per l'elenco degli attributi delle regole in entrata, consulta Riferimento per le regole in entrata.
(Facoltativo) Se la tua organizzazione utilizza Gestore contesto accesso e vuoi fornire agli sviluppatori l'accesso alle risorse protette dall'esterno del perimetro, imposta i livelli di accesso:
1. Fai clic su Livelli di accesso.
2. Nel riquadro Criterio in entrata: livelli di accesso, seleziona il campo Scegli livello di accesso.
3. Seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro.
Fai clic su Salva.

Dopo aver completato questi passaggi, i Controlli di servizio VPC controllano tutte le chiamate all'API Gemini for Google Cloud per assicurarsi che provengano dallo stesso perimetro.

Configura reti VPC

Devi configurare le reti VPC in modo che le richieste inviate all'IP virtuale googleapis.com normale vengano automaticamente indirizzate all' intervallo di IP virtuali (VIP) con limitazioni, 199.36.153.4/30 (restricted.googleapis.com), in cui è in esecuzione il servizio Gemini. Non devi modificare alcuna configurazione nelle estensioni IDE di Gemini Code Assist.

Per ogni rete VPC in un progetto, segui questi passaggi per bloccare il traffico in uscita, ad eccezione del traffico verso l'intervallo VIP con limitazioni:

Abilita l'accesso privato Google nelle subnet che ospitano le risorse della rete VPC.
Configura le regole firewall per impedire l'uscita dei dati dalla rete VPC.

Attenzione: se non configuri correttamente le regole firewall, i tuoi servizi potrebbero essere vulnerabili all'esfiltrazione di dati.
1. Crea una regola di negazione in uscita che blocca tutto il traffico in uscita.
Nota: assicurati che la regola firewall di negazione del traffico in uscita abbia una priorità successiva a 1000. In caso contrario, il traffico dal connettore di accesso VPC serverless al tuo servizio verrà bloccato.
1. Crea una regola di autorizzazione in uscita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che la regola di autorizzazione del traffico in uscita abbia una priorità che precede la regola di negazione del traffico in uscita che hai appena creato. In questo modo, il traffico in uscita è consentito solo all'intervallo VIP limitato.
Crea una policy di risposta di Cloud DNS.
Crea una regola per la policy di risposta per risolvere *.googleapis.com in restricted.googleapis.com con i seguenti valori:
- Nome DNS: *.googleapis.com.
- Dati locali: restricted.googleapis.com.
- Tipo di record: A
- TTL: 300
- Dati RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.

Dopo aver completato questi passaggi, le richieste provenienti dall'interno della rete VPC non possono uscire dalla rete VPC, impedendo il traffico in uscita all'esterno del perimetro di servizio. Queste richieste possono raggiungere solo le API e i servizi Google che verificano i Controlli di servizio VPC, impedendo l'esfiltrazione tramite le API di Google.

Configurazioni aggiuntive

A seconda dei prodotti Google Cloud che utilizzi con Gemini, devi tenere presente quanto segue:

Macchine client connesse al perimetro. Le macchine all'interno del perimetro dei Controlli di servizio VPC possono accedere a tutte le esperienze Gemini. Puoi anche estendere il perimetro a una Cloud VPN o Cloud Interconnect autorizzata da una rete esterna.
Macchine client all'esterno del perimetro. Quando hai macchine client all'esterno del perimetro di servizio, puoi concedere l'accesso controllato al servizio Gemini con limitazioni.
- Per saperne di più, consulta Consentire l'accesso alle risorse protette dall'esterno di un perimetro.
- Per un esempio di come creare un livello di accesso su una rete aziendale, consulta Limitare l'accesso su una rete aziendale.
- Esamina le limitazioni quando utilizzi i Controlli di servizio VPC con Gemini.
Gemini Code Assist. Per la conformità ai Controlli di servizio VPC, assicurati che l'IDE o la workstation che utilizzi non abbia accesso a https://www.google.com/tools/feedback/mobile tramite le policy firewall.
- Gemini Code Assist su GitHub. Se vuoi migliorare la qualità delle risposte, non devi inserire il tuo progetto Google Cloud all'interno di un perimetro di servizio dei Controlli di servizio VPC.
Cloud Workstations. Se utilizzi Cloud Workstations, segui le istruzioni riportate in Configurare i Controlli di servizio VPC e i cluster privati.

Passaggi successivi

Per informazioni sulle offerte di conformità in Google Cloud, consulta il Centro risorse per la conformità.