Dokumen ini menunjukkan cara mengonfigurasi Kontrol Layanan VPC untuk mendukung Gemini untuk Google Cloud, kolaborator yang didukung AI di Google Cloud. Untuk menyelesaikan konfigurasi ini, Anda melakukan hal berikut:
Perbarui perimeter layanan organisasi Anda untuk menyertakan Gemini. Dokumen ini mengasumsikan bahwa Anda sudah memiliki perimeter layanan di tingkat organisasi. Untuk mengetahui informasi selengkapnya tentang perimeter layanan, lihat Detail dan konfigurasi perimeter layanan.
Di project yang telah Anda aktifkan akses ke Gemini, konfigurasi jaringan VPC untuk memblokir traffic keluar, kecuali traffic ke rentang VIP terbatas.
Sebelum memulai
Pastikan Gemini Code Assist disiapkan untuk akun pengguna dan project Google Cloud Anda.
Pastikan Anda memiliki peran Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola Kontrol Layanan VPC.
Pastikan Anda memiliki perimeter layanan di tingkat organisasi yang dapat digunakan untuk menyiapkan Gemini. Jika Anda tidak memiliki perimeter layanan di tingkat ini, Anda dapat membuatnya.
Menambahkan Gemini ke perimeter layanan Anda
Untuk menggunakan Kontrol Layanan VPC dengan Gemini, Anda menambahkan Gemini ke perimeter layanan di tingkat organisasi. Perimeter layanan harus mencakup semua layanan yang Anda gunakan dengan Gemini dan layanan Google Cloud lainnya yang ingin Anda lindungi.
Untuk menambahkan Gemini ke perimeter layanan Anda, ikuti langkah-langkah berikut:
Di konsol Google Cloud , buka halaman VPC Service Controls.
Pilih organisasi Anda.
Di halaman VPC Service Controls, klik nama perimeter Anda.
Klik Tambahkan Fasilitas, lalu lakukan tindakan berikut:
Untuk setiap project tempat Anda mengaktifkan Gemini, di panel Add resources, klik Add project, lalu lakukan hal berikut:
Pada dialog Tambahkan project, pilih project yang ingin Anda tambahkan.
Jika Anda menggunakan VPC Bersama, tambahkan project host dan project layanan ke perimeter layanan.
Klik Tambahkan resource yang dipilih. Project yang ditambahkan akan muncul di bagian Projects.
Untuk setiap jaringan VPC di project Anda, di panel Add resources, klik Add VPC network, lalu lakukan hal berikut:
Dari daftar project, klik project yang berisi jaringan VPC.
Di dialog Add resources, centang kotak jaringan VPC.
Klik Tambahkan resource yang dipilih. Jaringan yang ditambahkan akan muncul di bagian VPC networks.
Klik Layanan yang Dibatasi, lalu lakukan tindakan berikut:
Di panel Restricted Services, klik Add services.
Dalam dialog Tentukan layanan yang akan dibatasi, pilih Gemini API untuk Google Cloud dan Gemini Code Assist API sebagai layanan yang ingin Anda amankan dalam perimeter.
Jika Anda berencana menggunakan penyesuaian kode, pilih juga Developer Connect API. Untuk mengetahui informasi selengkapnya tentang Developer Connect, lihat Ringkasan Developer Connect.
Untuk mempelajari cara menggunakan batasan kustom Layanan Kebijakan Organisasi untuk membatasi operasi tertentu pada
developerconnect.googleapis.com/Connectiondandeveloperconnect.googleapis.com/GitRepositoryLink, lihat Membuat kebijakan organisasi kustom.
- Klik Tambahkan n layanan, dengan n adalah jumlah layanan yang Anda pilih di langkah sebelumnya.
Opsional: Jika developer Anda perlu menggunakan Gemini dalam perimeter dari plugin Cloud Code di IDE mereka, Anda harus mengonfigurasi kebijakan ingress.
Mengaktifkan Kontrol Layanan VPC untuk Gemini akan mencegah semua akses dari luar perimeter, termasuk menjalankan ekstensi IDE Gemini Code Assist dari mesin yang tidak berada di dalam perimeter, seperti laptop perusahaan. Oleh karena itu, langkah-langkah ini diperlukan jika Anda ingin menggunakan Gemini dengan plugin Gemini Code Assist.
Klik Ingress policy.
Di panel Ingress rules, klik Add rule.
Di From attributes of the API client, tentukan sumber dari luar perimeter yang memerlukan akses. Anda dapat menentukan project, tingkat akses, dan jaringan VPC sebagai sumber.
Di To attributes of Google Cloud resources/services, tentukan nama layanan Gemini dan Gemini Code Assist API.
Untuk mengetahui daftar atribut aturan ingress, lihat Referensi aturan ingress.
Opsional: Jika organisasi Anda menggunakan Access Context Manager dan Anda ingin memberikan akses developer ke resource yang dilindungi dari luar perimeter, tetapkan tingkat akses:
Klik Tingkat Akses.
Di panel Ingress Policy: Access Levels, pilih kolom Choose Access Level.
Pilih kotak centang yang sesuai dengan tingkat akses yang ingin Anda terapkan ke perimeter.
Klik Simpan.
Setelah Anda menyelesaikan langkah-langkah ini, Kontrol Layanan VPC akan memeriksa semua panggilan ke Gemini for Google Cloud API untuk memastikan bahwa panggilan tersebut berasal dari dalam perimeter yang sama.
Mengonfigurasi jaringan VPC
Anda perlu mengonfigurasi jaringan VPC agar permintaan yang dikirim ke IP virtual googleapis.com reguler secara otomatis dirutekan ke rentang IP virtual (VIP) yang dibatasi,
199.36.153.4/30 (restricted.googleapis.com), tempat layanan Gemini Anda ditayangkan. Anda tidak perlu mengubah konfigurasi apa pun di ekstensi IDE Gemini Code Assist.
Untuk setiap jaringan VPC dalam project Anda, ikuti langkah-langkah berikut untuk memblokir traffic keluar, kecuali untuk traffic ke rentang VIP yang dibatasi:
Aktifkan Akses Google Pribadi di subnet yang menghosting resource jaringan VPC Anda.
Konfigurasi aturan firewall agar data tidak keluar dari jaringan VPC.
- Buat aturan tolak egress yang memblokir semua traffic keluar.
- Buat aturan izinkan egress yang mengizinkan traffic ke
199.36.153.4/30di port TCP443. Pastikan aturan izinkan traffic keluar memiliki prioritas sebelum aturan tolak traffic keluar yang baru saja Anda buat—aturan ini hanya mengizinkan traffic keluar ke rentang VIP yang dibatasi.
Buat aturan untuk kebijakan respons untuk me-resolve
*.googleapis.comkerestricted.googleapis.comdengan nilai berikut:Nama DNS:
*.googleapis.com.Data lokal:
restricted.googleapis.com.Jenis catatan:
ATTL:
300Data RR:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
Rentang alamat IP untuk
restricted.googleapis.comadalah199.36.153.4/30.
Setelah Anda menyelesaikan langkah-langkah ini, permintaan yang berasal dari dalam jaringan VPC tidak dapat keluar dari jaringan VPC, sehingga mencegah egress di luar perimeter layanan. Permintaan ini hanya dapat menjangkau Google API dan layanan yang memeriksa Kontrol Layanan VPC, sehingga mencegah pemindahan yang tidak sah melalui Google API.
Konfigurasi tambahan
Bergantung pada Google Cloud produk yang Anda gunakan dengan Gemini, Anda harus mempertimbangkan hal berikut:
Mesin klien yang terhubung ke perimeter. Mesin yang berada di dalam perimeter Kontrol Layanan VPC dapat mengakses semua pengalaman Gemini. Anda juga dapat memperluas perimeter ke Cloud VPN atau Cloud Interconnect yang sah dari jaringan eksternal.
Mesin klien di luar perimeter. Jika Anda memiliki mesin klien di luar perimeter layanan, Anda dapat memberikan akses terkontrol ke layanan Gemini yang dibatasi.
Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Untuk contoh cara membuat tingkat akses di jaringan perusahaan, lihat Membatasi akses di jaringan perusahaan.
Tinjau batasan saat menggunakan Kontrol Layanan VPC dengan Gemini.
Gemini Code Assist. Untuk kepatuhan terhadap Kontrol Layanan VPC, pastikan IDE atau workstation yang Anda gunakan tidak memiliki akses ke
https://www.google.com/tools/feedback/mobilemelalui kebijakan firewall.- Gemini Code Assist di GitHub. Jika Anda ingin mengaktifkan peningkatan kualitas respons, Anda tidak boleh menempatkan project Google Cloud dalam perimeter layanan Kontrol Layanan VPC.
Cloud Workstations. Jika Anda menggunakan Cloud Workstations, ikuti petunjuk di Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi.
Langkah berikutnya
- Untuk mengetahui informasi tentang penawaran kepatuhan di Google Cloud, lihat Pusat referensi kepatuhan.