Mengonfigurasi Kontrol Layanan VPC untuk Gemini

Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Gemini for Google Cloud, kolaborator yang didukung AI di Google Cloud. Untuk menyelesaikan konfigurasi ini, lakukan hal berikut:

  1. Perbarui perimeter layanan organisasi Anda untuk menyertakan Gemini. Dokumen ini mengasumsikan bahwa Anda sudah memiliki perimeter layanan di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang perimeter layanan, lihat Detail dan konfigurasi perimeter layanan.

  2. Di project yang telah Anda aktifkan akses ke Gemini, konfigurasi jaringan VPC untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi.

Sebelum memulai

  1. Pastikan Gemini Code Assist disiapkan untuk Google Cloud akun pengguna dan project Anda.

  2. Pastikan Anda memiliki peran Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola Kontrol Layanan VPC.

  3. Pastikan Anda memiliki perimeter layanan di tingkat organisasi yang dapat digunakan untuk menyiapkan Gemini. Jika tidak memiliki perimeter layanan di tingkat ini, Anda dapat membuatnya.

Menambahkan Gemini ke perimeter layanan Anda

Untuk menggunakan Kontrol Layanan VPC dengan Gemini, tambahkan Gemini ke perimeter layanan di tingkat organisasi. Perimeter layanan harus menyertakan semua layanan yang Anda gunakan dengan Gemini dan layanan lain yang ingin Anda lindungi. Google Cloud

Untuk menambahkan Gemini ke perimeter layanan Anda, ikuti langkah-langkah berikut:

  1. Di Google Cloud konsol, buka halaman VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Pilih organisasi Anda.

  3. Di halaman Kontrol Layanan VPC, klik nama perimeter Anda.

  4. Klik Add Resources , lalu lakukan hal berikut:

    1. Untuk setiap project tempat Anda mengaktifkan Gemini, di panel Add resources, klik Add project, lalu lakukan hal berikut:

    2. Di dialog Add projects, pilih project yang ingin Anda tambahkan.

      Jika Anda menggunakan VPC Bersama, tambahkan project host dan project layanan ke perimeter layanan.

    3. Klik Add selected resources. Project yang ditambahkan akan muncul di bagian Projects.

    4. Untuk setiap jaringan VPC di project Anda, di panel Add resources, klik Add VPC network, lalu lakukan hal berikut:

    5. Dari daftar project, klik project yang berisi jaringan VPC.

    6. Di dialog Add resources, centang kotak jaringan VPC.

    7. Klik Add selected resources. Jaringan yang ditambahkan akan muncul di bagian VPC networks.

  5. Klik Restricted Services , lalu lakukan hal berikut:

    1. Di panel Restricted Services, klik Add services.

    2. Di dialog Specify services to restrict, pilih Gemini for Google Cloud API dan Gemini Code Assist API sebagai layanan yang ingin Anda amankan dalam perimeter.

    3. Jika Anda berencana menggunakan penyesuaian kode, pilih Developer Connect API juga. Untuk mengetahui informasi selengkapnya tentang Developer Connect, lihat Ringkasan Developer Connect.

      Untuk mempelajari cara menggunakan batasan kustom Layanan Kebijakan Organisasi untuk membatasi operasi tertentu pada developerconnect.googleapis.com/Connection dan developerconnect.googleapis.com/GitRepositoryLink, lihat Membuat kebijakan organisasi kustom.

    1. Klik Add n services, dengan n adalah jumlah layanan yang Anda pilih pada langkah sebelumnya.

  6. Opsional: Jika developer Anda perlu menggunakan Gemini dalam perimeter dari plugin Cloud Code di IDE mereka, Anda harus mengonfigurasi kebijakan ingress.

    Mengaktifkan Kontrol Layanan VPC untuk Gemini akan mencegah semua akses dari luar perimeter, termasuk menjalankan ekstensi IDE Gemini Code Assist dari mesin yang tidak berada di dalam perimeter, seperti laptop perusahaan. Oleh karena itu, langkah-langkah ini diperlukan jika Anda ingin menggunakan Gemini dengan plugin Gemini Code Assist.

    1. Klik Ingress policy.

    2. Di panel Ingress rules, klik Add rule.

    3. Di Dari atribut klien API, tentukan sumber dari luar perimeter yang memerlukan akses. Anda dapat menentukan project, tingkat akses, dan jaringan VPC sebagai sumber.

    4. Di To attributes of Google Cloud resources/services, tentukan nama layanan Gemini dan Gemini Code Assist API.

    Untuk mengetahui daftar atribut aturan ingress, lihat Referensi aturan ingress.

  7. Opsional: Jika organisasi Anda menggunakan Access Context Manager dan Anda ingin memberikan akses developer ke resource yang dilindungi dari luar perimeter, tetapkan tingkat akses:

    1. Klik Access Levels.

    2. Di panel Ingress Policy: Access Levels, pilih kolom Choose Access Level.

    3. Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter.

  8. Klik Save.

Setelah Anda menyelesaikan langkah-langkah ini, Kontrol Layanan VPC akan memeriksa semua panggilan ke Gemini for Google Cloud API untuk memastikan bahwa panggilan berasal dari dalam perimeter yang sama.

Mengonfigurasi jaringan VPC

Anda harus mengonfigurasi jaringan VPC agar permintaan yang dikirim ke IP virtual googleapis.com reguler secara otomatis dirutekan ke rentang IP virtual (VIP) yang dibatasi, 199.36.153.4/30 (restricted.googleapis.com), tempat layanan Gemini Anda tayangkan. Anda tidak perlu mengubah konfigurasi apa pun di ekstensi IDE Gemini Code Assist.

Untuk setiap jaringan VPC dalam project Anda, ikuti langkah-langkah berikut untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi:

  1. Aktifkan Akses Google Pribadi di subnet yang menghosting resource jaringan VPC Anda.

  2. Konfigurasi aturan firewall agar data tidak keluar dari jaringan VPC.

    1. Buat aturan tolak egress yang memblokir semua traffic keluar.
    1. Buat aturan izinkan egress yang mengizinkan traffic ke 199.36.153.4/30 di port TCP 443. Pastikan aturan izinkan egress memiliki prioritas sebelum aturan tolak egress yang baru saja Anda buat—aturan ini hanya mengizinkan egress rentang VIP yang dibatasi.

  3. Buat kebijakan respons Cloud DNS.

  4. Buat aturan untuk kebijakan respons guna me-resolve *.googleapis.com ke restricted.googleapis.com dengan nilai berikut:

    • Nama DNS: *.googleapis.com.

    • Data lokal: restricted.googleapis.com.

    • Jenis data: A

    • TTL: 300

    • Data RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    Rentang alamat IP untuk restricted.googleapis.com adalah 199.36.153.4/30.

Setelah Anda menyelesaikan langkah-langkah ini, permintaan yang berasal dari dalam jaringan VPC tidak dapat keluar dari jaringan VPC, sehingga mencegah egress di luar perimeter layanan. Permintaan ini hanya dapat menjangkau Google API dan layanan yang memeriksa Kontrol Layanan VPC, sehingga mencegah pemindahan yang tidak sah melalui Google API.

Konfigurasi tambahan

Bergantung pada Google Cloud produk yang Anda gunakan dengan Gemini, Anda harus mempertimbangkan hal berikut:

  • Mesin klien yang terhubung ke perimeter. Mesin yang berada di dalam perimeter Kontrol Layanan VPC dapat mengakses semua pengalaman Gemini. Anda juga dapat memperluas perimeter ke Cloud VPN atau Cloud Interconnect yang sah dari jaringan eksternal.

  • Mesin klien di luar perimeter. Jika Anda memiliki mesin klien di luar perimeter layanan, Anda dapat memberikan akses terkontrol ke layanan Gemini yang dibatasi.

  • Gemini Code Assist. Untuk kepatuhan terhadap Kontrol Layanan VPC, pastikan IDE atau workstation yang Anda gunakan tidak memiliki akses ke https://www.google.com/tools/feedback/mobile melalui kebijakan firewall.

  • Cloud Workstations. Jika Anda menggunakan Cloud Workstations, ikuti petunjuk di Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi.

Langkah berikutnya