שימוש ב-VPC Service Controls

בדף הזה מוסבר איך להשתמש ב-VPC Service Controls כדי להגדיר מחברת Colab Enterprise בתוך גבולות גזרה לשירות.

סקירה כללית

VPC Service Controls הוא תכונה שמאפשרת להגדיר מתחם היקפי שעוזר להגן מפני זליגת נתונים. Google Cloud

VPC Service Controls מספק שכבת הגנה נוספת לשירותיGoogle Cloud , שהיא בלתי תלויה בהגנה שמסופקת על ידי ניהול זהויות והרשאות גישה (IAM).

כשמשתמשים ב-Colab Enterprise בתוך גבולות גזרה לשירות, זמני הריצה כפופים לגבולות הגזרה לשירות. לכן, כדי להריץ קוד ב-notebook שמקיים אינטראקציה עם Google APIs ושירותים אחרים של Google, צריך להוסיף את השירותים האלה לגבולות גזרה לשירות.

מידע נוסף על VPC Service Controls זמין במאמר סקירה כללית על VPC Service Controls.

מגבלות ידועות

  • ‫Colab Enterprise משתמש ב-Dataform לאחסון קובצי notebook.

    מידע נוסף על שימוש ב-VPC Service Controls עם Dataform זמין במאמר הגדרה של VPC Service Controls ל-Dataform.

  • אפשר לגשת לממשק המשתמש של Colab Enterprise רק ממסוף Google Cloud . מידע על מגבלות של VPC Service Controls בGoogle Cloud מסוף זמין במאמר Google Cloud מגבלות של המסוף.

  • אם גבולות הגזרה לשירות צריכים גישה לשירותים של Gemini Enterprise Agent Platform, אפשר לעיין במאמר בנושא VPC Service Controls עם מגבלות של Colab Enterprise.

  • עיכוב בהגדרה של Data Science Agent: אם חל גבולות גזרה לשירות על פרויקט שבו נעשה שימוש ב-Data Science Agent בעבר, יכול להיות שיהיה עיכוב של עד שבוע לפני שהסוכן יפעל בצורה תקינה במסגרת גבולות הגזרה לשירות. במהלך פרק הזמן הזה, בקשות לסוכן עשויות להפעיל הפרות של VPC Service Controls.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש ב-VPC Service Controls עם Colab Enterprise, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

מידע נוסף על הרשאות ב-VPC Service Controls זמין במאמר בקרת גישה באמצעות IAM.

יצירה של service perimeter

  1. יצירה של גבולות גזרה לשירות באמצעות VPC Service Controls גבולות הגזרה לשירות הזה מגנים על המשאבים שמנוהלים על ידי Google בשירותים שאתם מציינים. במהלך יצירת גבולות הגזרה לשירות, מבצעים את הפעולות הבאות:

    1. כשמגיע הזמן להוסיף פרויקטים לגבולות גזרה לשירות, מוסיפים את הפרויקט שמכיל את קובצי ה-notebook של Colab Enterprise, או יוצרים קובצי notebook בפרויקט הזה.

    2. כשמגיע הזמן להוסיף שירותים לגבולות גזרה לשירות, מוסיפים את השירותים הבאים:

      • Agent Platform API‏ (aiplatform.googleapis.com)
      • Dataform API ‏ (dataform.googleapis.com)

    אם יצרתם את גבולות הגזרה לשירות בלי להוסיף את הפרויקטים והשירותים שאתם צריכים, במאמר בנושא ניהול גבולות גזרה לשירות מוסבר איך לעדכן את גבולות הגזרה לשירות.

מתן גישה לממשק המשתמש של Colab Enterprise

ממשק המשתמש של Colab Enterprise‏ (colab-embedded.cloud.google.com) נגיש רק דרך האינטרנט, ולכן הוא נחשב כנמצא מחוץ לגבולות השירות. כשמחילים גבולות גזרה לשירות, יכול להיות שלא תהיה גישה חלקית או מלאה לממשק המסוף של השירותים שהגנתם עליהם. Google Cloud לדוגמה, אם מגנים על Colab Enterprise באמצעות ההיקף, אי אפשר לגשת לממשק של Colab Enterprise במסוף Google Cloud .

כדי לאפשר גישה ממסוף Google Cloud למשאבים שמוגנים על ידי גבולות גזרה, צריך ליצור רמת גישה לטווח ציבורי של כתובות IP שכולל את המכונות של משתמשים שרוצים להשתמש במסוף Google Cloud עם ממשקי API מוגנים. לדוגמה, אפשר להוסיף את טווח כתובות ה-IP הציבוריות של שער ה-NAT ברשת הפרטית לרמת גישה, ואז להקצות את רמת הגישה הזו לגבולות גזרה לשירות.

אם רוצים להגביל את הגישה למסוף בפרימטר רק לקבוצה מסוימת של משתמשים, אפשר גם להוסיף את המשתמשים האלה לרמת גישה. Google Cloud במקרה כזה, רק המשתמשים שצוינו יוכלו לגשת למסוףGoogle Cloud .

.

הגדרת שירותים שאפשר לגשת אליהם מ-VPC (אופציונלי)

כשמפעילים שירותים עם גישה ל-VPC בגבולות גזרה, הגישה מנקודות קצה ברשת בתוך גבולות הגזרה מוגבלת לקבוצת שירותים שאתם מציינים.

כדי לקרוא מידע נוסף על הגבלת הגישה בתוך גבולות הגזרה רק לקבוצה ספציפית של שירותים, אפשר לעיין במאמר בנושא שירותים שאפשר לגשת אליהם ב-VPC.

שימוש בגישה פרטית ל-Google עם רשת ה-VPC (אופציונלי)

גישה פרטית ל-Google מאפשרת קישוריות פרטית למארחים ברשת VPC או ברשת מקומית שמשתמשת בכתובות IP פרטיות כדי לגשת לממשקי API ולשירותים. Google Cloud אתם יכולים להרחיב את גבולות גזרה לשירות של VPC Service Controls למארחים ברשתות האלה כדי לשלוט בגישה למשאבים מוגנים. למארחים ברשת VPC צריכה להיות רק כתובת IP פרטית (לא כתובת IP ציבורית), והם צריכים להיות ברשת משנה שמופעלת בה גישה פרטית ל-Google. מידע נוסף זמין במאמר קישוריות פרטית מרשתות מקומיות.

כדי לוודא שאפשר להשתמש בגישה פרטית ל-Google עם רשת ה-VPC, צריך להגדיר כמה רשומות DNS.

הגדרת רשומות ה-DNS באמצעות Cloud DNS

סביבות זמן הריצה של Colab Enterprise משתמשות בכמה דומיינים שרשת VPC לא מטפלת בהם כברירת מחדל. כדי לוודא שרשת ה-VPC מטפלת נכון בבקשות שנשלחות לדומיינים האלה, צריך להשתמש ב-Cloud DNS כדי להוסיף רשומות DNS. מידע נוסף על מסלולי VPC זמין במאמר בנושא מסלולים.

בקטע הזה מוסבר איך ליצור אזור מנוהל לדומיין, להוסיף רשומת DNS שתנתב את הבקשה ולהריץ את העסקה. חוזרים על השלבים האלה לכל כמה דומיינים שצריך לטפל בבקשות עבורם, החל מ-*.aiplatform.googleapis.com.

ב-Cloud Shell או בכל סביבה שבה מותקן Google Cloud CLI, מזינים את הפקודות הבאות של ה-CLI של gcloud.

  1. כדי ליצור אזור פרטי מנוהל לאחד מהדומיינים שרשת ה-VPC שלכם צריכה לטפל בהם:

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME. \
            --description="Description of your managed zone"
        

    מחליפים את מה שכתוב בשדות הבאים:

    • ZONE_NAME: שם האזור שרוצים ליצור. צריך להשתמש באזור נפרד לכל דומיין. השם של האזור הזה ישמש בכל אחד מהשלבים הבאים.
    • PROJECT_ID: מזהה הפרויקט שמארח את רשת ה-VPC.
    • NETWORK_NAME: השם של רשת ה-VPC שיצרתם קודם.
    • DNS_NAME: החלק של שם הדומיין שמגיע אחרי *.. לדוגמה, ל-*.aiplatform.googleapis.com יש שם DNS של aiplatform.googleapis.com.
  2. מתחילים עסקה.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. מוסיפים את רשומת ה-DNS A הבאה. הפעולה הזו תנתב מחדש את התנועה לכתובות ה-IP המוגבלות של Google.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. מוסיפים את רשומת ה-CNAME הבאה כדי להפנות לרשומת ה-A שזה עתה הוספתם. כל התנועה שתואמת לדומיין תופנה לכתובות ה-IP שמופיעות בשלב הקודם.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. מריצים את העסקה.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. חוזרים על השלבים האלה לכל אחד מהדומיינים הבאים. בכל חזרה, משנים את ZONE_NAME ואת DNS_NAME לערכים המתאימים לדומיין. מקפידים על אותם ערכים של PROJECT_ID ו-NETWORK_NAME בכל פעם. כבר השלמתם את השלבים האלה עבור *.aiplatform.googleapis.com.

    • *.aiplatform.googleapis.com
    • *.aiplatform-notebook.googleusercontent.com
    • *.aiplatform-notebook.cloud.google.com

מידע נוסף על הגדרת קישוריות פרטית זמין במאמר הגדרת קישוריות פרטית ל-Google APIs ולשירותים.

איך מאפשרים בקרת גישה מבוססת-הקשר מחוץ לגבולות הגזרה לשירות באמצעות כללים לתעבורת נתונים נכנסת

אתם יכולים לאפשר בקרת גישה מבוססת-הקשר למשאבים שמוגבלים על ידי גבולות גזרה על סמך מאפייני לקוח. אתם יכולים לציין מאפייני לקוח, כמו סוג הזהות (חשבון שירות או משתמש), הזהות, נתוני המכשיר ומקור הרשת (כתובת IP או רשת VPC).

לדוגמה, אפשר להגדיר כללי תעבורת נתונים נכנסת (ingress) כדי לאפשר גישה לאינטרנט למשאבים בתוך היקף האבטחה על סמך טווח כתובות IPv4 ו-IPv6. מידע נוסף על שימוש בכללי כניסה להגדרת בקרת גישה מבוססת-הקשר זמין במאמר בקרת גישה מבוססת-הקשר.

הגדרה של חילופי נתונים מאובטחים באמצעות כללי כניסה ויציאה

אפשר לכלול את הפרויקט רק בגבולות גזרה לשירות אחד. אם רוצים לאפשר תקשורת מעבר לגבולות ההיקף, צריך להגדיר כללי כניסה ויציאה. לדוגמה, אפשר לציין כללי כניסה ויציאה כדי לאפשר לפרויקטים מכמה גבולות גזרה לשתף יומנים בגבול גזרה נפרד. למידע נוסף על תרחישי שימוש בהחלפת נתונים מאובטחת, אפשר לקרוא את המאמר בנושא החלפת נתונים מאובטחת.

תמיכה ב-Data Science Agent

הסוכן Colab Enterprise Data Science תומך ב-VPC Service Controls. כשמגבילים את Agent Platform API‏ (aiplatform.googleapis.com) בגבולות גזרה לשירות, Data Science Agent והפעולות שלו מוגבלים על ידי גבולות הגזרה. ההגדרה הזו מבטיחה שגם הבקשות הראשוניות ל-Data Science Agent וגם כל קריאות השירות הבאות שהסוכן יוזם יהיו כפופות להגנות של גבולות גזרה לשירות.

המאמרים הבאים