Konfigurowanie ustawień usługi VPC dla Gemini

Ten dokument pokazuje, jak skonfigurować Ustawienia usługi VPC, aby obsługiwać Gemini, opartą na AI usługę wspomagającą w Google Cloud. Aby dokończyć konfigurację, wykonaj te czynności:

1. Zaktualizuj granicę usług organizacji, aby uwzględnić Gemini. W tym dokumencie zakładamy, że masz już granicę usług na poziomie organizacji. Więcej informacji o granicach usług znajdziesz w artykule Szczegóły i konfiguracja granicy usług.

2. W projektach, w których masz włączony dostęp do Gemini, skonfiguruj sieci VPC tak, aby blokowały ruch wychodzący z wyjątkiem ruchu do ograniczonego zakresu VIP.

Zanim zaczniesz

1. Sprawdź, czy w projekcie i na koncie użytkownika Google Cloud skonfigurowano Gemini Code Assist.

2. Sprawdź, czy masz wymagane role Identity and Access Management, aby skonfigurować Ustawienia usługi VPC i nimi zarządzać.

3. Sprawdź, czy masz granicę usług na poziomie organizacji, której możesz użyć do skonfigurowania Gemini. Jeśli na tym poziomie nie masz perymetru usługi, możesz go utworzyć.

Dodawanie Gemini do granicy usługi

Aby korzystać z Ustawień usługi VPC w przypadku Gemini, musisz dodać Gemini do granicy usług na poziomie organizacji. Granica usług musi obejmować wszystkie usługi, których używasz z Gemini, oraz inne usługi Google Cloud, które chcesz chronić.

Aby dodać Gemini do granicy usług, wykonaj te czynności:

1. W konsoli Google Cloud otwórz stronę Ustawienia usługi VPC.

   Otwórz Ustawienia usługi VPC

2. Wybierz swoją organizację.

3. Na stronie Ustawienia usługi VPC kliknij nazwę granicy.

4. Kliknij Dodaj zasoby i wykonaj te czynności:

   1. W przypadku każdego projektu, w którym masz włączoną usługę Gemini, w panelu Dodaj zasoby kliknij Dodaj projekt, a następnie wykonaj te czynności:

   2. W oknie Dodaj projekty wybierz projekty, które chcesz dodać.

      Jeśli korzystasz ze współdzielonego środowiska VPC, dodaj do granicy usługi główny projekt i projekty usług.

   3. Kliknij Dodaj wybrane zasoby. Dodane projekty pojawią się w sekcji Projekty.

   4. W przypadku każdej sieci VPC w projektach w panelu Dodaj zasoby kliknij Dodaj sieć VPC, a następnie wykonaj te czynności:

   5. Na liście projektów kliknij projekt zawierający sieć VPC.

   6. W oknie Dodaj zasoby zaznacz pole wyboru sieci VPC.

   7. Kliknij Dodaj wybrane zasoby. Dodana sieć pojawi się w sekcji Sieci VPC.

5. Kliknij Usługi z ograniczeniami i wykonaj te czynności:

   1. W panelu Usługi z ograniczeniami kliknij Dodaj usługi.

   2. W oknie Określ usługi, które mają zostać ograniczone wybierz Gemini for Google Cloud API i Gemini Code Assist API jako usługi, które chcesz zabezpieczyć w obrębie granicy.

   3. Jeśli planujesz używać dostosowywania kodu, wybierz też interfejs Developer Connect API. Więcej informacji o Developer Connect znajdziesz w omówieniu Developer Connect.

      Aby dowiedzieć się, jak używać ograniczeń niestandardowych usługi zasad organizacji do ograniczania określonych operacji na developerconnect.googleapis.com/Connection i developerconnect.googleapis.com/GitRepositoryLink, przeczytaj artykuł Tworzenie niestandardowych zasad organizacji.

   1. Kliknij Dodaj n usługi, gdzie n to liczba usług wybranych w poprzednim kroku.

6. Opcjonalnie: jeśli deweloperzy muszą korzystać z Gemini w obrębie perymetru za pomocą wtyczki Cloud Code w swoich IDE, musisz skonfigurować zasady ruchu przychodzącego.

   Włączenie ustawień usługi VPC dla Gemini uniemożliwia dostęp z zewnątrz granicy, w tym uruchamianie rozszerzeń IDE Gemini Code Assist na urządzeniach spoza granicy, takich jak laptopy firmowe. Dlatego te czynności są niezbędne, jeśli chcesz korzystać z Gemini z wtyczką Gemini Code Assist.

   1. Kliknij Zasada ruchu przychodzącego.

   2. W panelu Reguły ruchu przychodzącego kliknij Dodaj regułę.

   3. W sekcji Atrybuty FROM klienta API określ źródła spoza granicy, które wymagają dostępu. Jako źródła możesz określić projekty, poziomy dostępu i sieci VPC.

   4. W sekcji Atrybuty TO usług/zasobów Google Cloud podaj nazwę usługi Gemini i interfejsu Gemini Code Assist API.

   Listę atrybutów reguł dla ruchu przychodzącego znajdziesz w dokumentacji referencyjnej reguł dla ruchu przychodzącego.

7. Opcjonalnie: jeśli Twoja organizacja korzysta z Menedżera kontekstu dostępu i chcesz przyznać deweloperom dostęp do chronionych zasobów spoza granic, ustaw poziomy dostępu:

   1. Kliknij Poziomy dostępu.

   2. W panelu Zasada dotycząca ruchu przychodzącego: poziomy dostępu wybierz pole Wybierz poziom dostępu.

   3. Zaznacz pola wyboru odpowiadające poziomom dostępu, które chcesz zastosować do obszaru.

8. Kliknij Zapisz.

Po wykonaniu tych czynności VPC Service Controls sprawdzają wszystkie wywołania interfejsu Gemini for Google Cloud API, aby upewnić się, że pochodzą one z tego samego obszaru.

Skonfiguruj sieci VPC

Musisz skonfigurować sieci VPC tak, aby żądania wysyłane do zwykłego wirtualnego adresu IP googleapis.com były automatycznie kierowane do zakresu ograniczonego wirtualnego adresu IP (VIP) 199.36.153.4/30 (restricted.googleapis.com), w którym działa usługa Gemini. Nie musisz zmieniać żadnych konfiguracji w rozszerzeniach IDE Gemini Code Assist.

Aby zablokować ruch wychodzący z każdej sieci VPC w projekcie z wyjątkiem ruchu do ograniczonego zakresu VIP, wykonaj te czynności:

1. Włącz prywatny dostęp do Google w podsieciach, które hostują zasoby sieci VPC.

2. Skonfiguruj reguły zapory sieciowej, aby zapobiec opuszczaniu sieci VPC przez dane.

   1. Utwórz regułę odmowy ruchu wychodzącego, która blokuje cały ruch wychodzący.
   1. Utwórz regułę zezwalającą na ruch wychodzący, która zezwala na ruch do 199.36.153.4/30 na porcie TCP 443. Upewnij się, że reguła dopuszczania ruchu wychodzącego ma wyższy priorytet niż utworzona przez Ciebie reguła blokowania ruchu wychodzącego. Dzięki temu ruch wychodzący będzie dozwolony tylko w ograniczonym zakresie adresów VIP.

3. Utwórz zasadę odpowiedzi Cloud DNS.

4. Utwórz regułę zasady odpowiedzi, aby przekształcić *.googleapis.com w restricted.googleapis.com przy użyciu tych wartości:

   • Nazwa DNS: *.googleapis.com.

   • Dane produktów dostępnych lokalnie: restricted.googleapis.com.

   • Typ rekordu: A

   • TTL: 300

   • Dane RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   Zakres adresów IP dla restricted.googleapis.com to 199.36.153.4/30.

Po wykonaniu tych czynności żądania pochodzące z sieci VPC nie będą mogły opuścić tej sieci, co uniemożliwi ruch wychodzący poza granice usługi. Te żądania mogą docierać tylko do interfejsów API i usług Google, które sprawdzają ustawienia usługi VPC, co zapobiega eksfiltracji danych przez interfejsy API Google.

Dodatkowe konfiguracje

W zależności od usług Google Cloud, których używasz z Gemini, musisz wziąć pod uwagę te kwestie:

• Urządzenia klientów połączone z siecią zewnętrzną. Maszyny znajdujące się w granicach Ustawień usługi VPC mogą korzystać ze wszystkich funkcji Gemini. Możesz też rozszerzyć perymetr na autoryzowaną sieć Cloud VPN lub Cloud Interconnect z sieci zewnętrznej.

• Urządzenia klientów poza obszarem. Jeśli masz maszyny klienckie poza granicą usługi, możesz przyznać kontrolowany dostęp do ograniczonej usługi Gemini.

  • Więcej informacji znajdziesz w artykule Zezwalanie na dostęp do zabezpieczonych zasobów spoza granic.

  • Przykład tworzenia poziomu dostępu w sieci firmowej znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.

  • Zapoznaj się z ograniczeniami dotyczącymi korzystania z Ustawień usługi VPC w przypadku Gemini.

• Gemini Code Assist Aby zachować zgodność z Ustawieniami usługi VPC, sprawdź, czy środowisko IDE lub stacja robocza, z której korzystasz, nie ma dostępu do https://www.google.com/tools/feedback/mobile za pomocą zasad zapory sieciowej.

  • Gemini Code Assist w GitHubie Jeśli chcesz włączyć poprawę jakości odpowiedzi, nie umieszczaj projektu Google Cloud w granicach usług Ustawienia usługi VPC.

• Cloud Workstations Jeśli używasz Cloud Workstations, postępuj zgodnie z instrukcjami w artykule Konfigurowanie ustawień usługi VPC i klastrów prywatnych.

Co dalej?

• Więcej informacji o ofertach zgodności w Google Cloud znajdziesz w Centrum zasobów dotyczących zgodności.