הגדרת VPC Service Controls ל-Gemini

במאמר הזה מוסבר איך להגדיר את VPC Service Controls כדי לתמוך ב-Gemini for Google Cloud, שותף מבוסס-AI ב- Google Cloud. כדי להשלים את ההגדרה הזו, צריך לבצע את הפעולות הבאות:

1. מעדכנים את גבולות הגזרה לשירות של הארגון כדי לכלול את Gemini. המסמך הזה מניח שכבר הגדרתם גבולות גזרה לשירות ברמת הארגון. מידע נוסף על גבולות גזרה לשירות זמין במאמר פרטים והגדרה של גבולות גזרה לשירות.

2. בפרויקטים שבהם הפעלתם גישה ל-Gemini, צריך להגדיר רשתות VPC כדי לחסום תעבורה יוצאת, למעט תעבורה לטווח כתובות ה-IP הווירטואליות המוגבל.

לפני שמתחילים

1. מוודאים ש-Gemini Code Assist מוגדר בחשבון המשתמש ובפרויקט שלכם ב- Google Cloud.

2. כדי להגדיר ולנהל את VPC Service Controls, צריך לוודא שיש לכם את התפקידים הנדרשים לניהול זהויות והרשאות גישה (IAM).

3. ודאו שיש לכם גבולות גזרה לשירות ברמת הארגון שתוכלו להשתמש בו כדי להגדיר את Gemini. אם אין לכם היקף שירות ברמה הזו, אתם יכולים ליצור אחד.

הוספת Gemini לגבולות גזרה לשירות

כדי להשתמש ב-VPC Service Controls עם Gemini, מוסיפים את Gemini לגבולות גזרה לשירות ברמת הארגון. גבולות הגזרה לשירות חייבים לכלול את כל השירותים שבהם אתם משתמשים עם Gemini ועם Google Cloud שירותים אחרים שאתם רוצים להגן עליהם.

כדי להוסיף את Gemini לגבולות גזרה לשירות, יש לבצע את השלבים הבאים:

1. נכנסים לדף VPC Service Controls במסוף Google Cloud .

   מעבר אל VPC Service Controls

2. בוחרים את הארגון.

3. בדף VPC Service Controls, לוחצים על שם הגבול.

4. לוחצים על הוספת משאבים ופועלים לפי השלבים הבאים:

   1. לכל פרויקט שבו הפעלתם את Gemini, בחלונית Add resources, לוחצים על Add project ומבצעים את הפעולות הבאות:

   2. בתיבת הדו-שיח Add projects, בוחרים את הפרויקטים שרוצים להוסיף.

      אם אתם משתמשים ב-VPC משותף, אתם צריכים להוסיף את הפרויקט המארח ואת פרויקטי השירות לגבולות גזרה לשירות.

   3. לוחצים על הוספת המשאבים שנבחרו. הפרויקטים שנוספו יופיעו בקטע Projects.

   4. לכל רשת VPC בפרויקטים, בחלונית Add resources, לוחצים על Add VPC network ומבצעים את הפעולות הבאות:

   5. ברשימת הפרויקטים, לוחצים על הפרויקט שמכיל את רשת ה-VPC.

   6. בתיבת הדו-שיח הוספת משאבים, מסמנים את תיבת הסימון של רשת ה-VPC.

   7. לוחצים על הוספת המשאבים שנבחרו. הרשת שנוספה מופיעה בקטע VPC networks.

5. לוחצים על שירותים עם גישה מוגבלת ומבצעים את הפעולות הבאות:

   1. בחלונית Restricted Services (שירותים מוגבלים), לוחצים על Add services (הוספת שירותים).

   2. בתיבת הדו-שיח Specify services to restrict, בוחרים באפשרות Gemini for Google Cloud API ובאפשרות Gemini Code Assist API כשירותים שרוצים לאבטח בתוך גבולות הגזרה.

   3. אם אתם מתכננים להשתמש בהתאמה אישית של קוד, תצטרכו לבחור גם באפשרות Developer Connect API. מידע נוסף על Developer Connect זמין במאמר סקירה כללית של Developer Connect.

      כדי ללמוד איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות ב-developerconnect.googleapis.com/Connection וב-developerconnect.googleapis.com/GitRepositoryLink, אפשר לעיין במאמר יצירה של מדיניות ארגון בהתאמה אישית.

   1. לוחצים על הוספת n שירותים, כאשר n הוא מספר השירותים שבחרתם בשלב הקודם.

6. אופציונלי: אם המפתחים שלכם צריכים להשתמש ב-Gemini בתוך גבולות הגזרה מתוסף Cloud Code בסביבות הפיתוח המשולבות שלהם, תצטרכו להגדיר את מדיניות ה-Ingress.

   הפעלת VPC Service Controls עבור Gemini מונעת כל גישה מחוץ לגבולות הגזרה, כולל הפעלת תוספי IDE של Gemini Code Assist ממכונות שלא נמצאות בגבולות הגזרה, כמו מחשבים ניידים של החברה. לכן, צריך לבצע את השלבים האלה אם רוצים להשתמש ב-Gemini עם הפלאגין Gemini Code Assist.

   1. לוחצים על Ingress policy (מדיניות כניסה).

   2. בחלונית Ingress rules, לוחצים על Add rule.

   3. בקטע ממאפיינים של לקוח ה-API, מציינים את המקורות שמחוץ לגבולות גזרה שנדרשת להם גישה. אפשר לציין פרויקטים, רמות גישה ורשתות VPC כמקורות.

   4. בקטע To attributes of Google Cloud resources/services, מציינים את שם השירות של Gemini ושל Gemini Code Assist API.

   רשימה של מאפייני כללי כניסה מופיעה במאמר בנושא חומר עזר בנושא כללי כניסה.

7. אופציונלי: אם הארגון שלכם משתמש ב-Access Context Manager ואתם רוצים להעניק למפתחים גישה למשאבים מוגנים מחוץ לגבולות גזרה, צריך להגדיר רמות גישה:

   1. לוחצים על רמות גישה.

   2. בחלונית Ingress Policy: Access Levels (מדיניות כניסה: רמות גישה), בוחרים בשדה Choose Access Level (בחירת רמת גישה).

   3. מסמנים את התיבות שמתאימות לרמות הגישה שרוצים להחיל על ההיקף.

8. לוחצים על Save.

אחרי שמבצעים את השלבים האלה, מערכת VPC Service Controls בודקת את כל הקריאות ל-Gemini for Google Cloud API כדי לוודא שהן מגיעות מאותם גבולות גזרה.

הגדרת רשתות VPC

צריך להגדיר את רשתות ה-VPC כך שהבקשות שנשלחות לכתובת ה-IP הווירטואלית הרגילה googleapis.com ינותבו אוטומטית לטווח כתובות ה-IP הווירטואליות המוגבלות (VIP),‏ 199.36.153.4/30 (restricted.googleapis.com), שבהן שירות Gemini פועל. אתם לא צריכים לשנות את ההגדרות בתוספים של Gemini Code Assist ל-IDE.

לכל רשת VPC בפרויקט, פועלים לפי השלבים הבאים כדי לחסום תעבורה יוצאת, למעט תעבורה לטווח ה-VIP המוגבל:

1. מפעילים גישה פרטית ל-Google ברשתות המשנה שמארחות את משאבי רשת ה-VPC.

2. מגדירים כללים של חומת אש כדי למנוע יציאה של נתונים מרשת ה-VPC.

   1. יוצרים כלל לדחיית תעבורת נתונים יוצאת שחוסם את כל התעבורה היוצאת.
   1. יוצרים כלל שמאפשר תעבורת נתונים יוצאת (egress) אל 199.36.153.4/30 ביציאת TCP‏ 443. חשוב לוודא שכלל היציאה (egress) שמאפשר גישה נמצא לפני כלל היציאה (egress) שחוסם גישה שיצרתם זה עתה – כך תתאפשר יציאה רק לטווח ה-VIP המוגבל.

3. יצירה של מדיניות תגובה ב-Cloud DNS.

4. יוצרים כלל למדיניות התגובה כדי לפתור את *.googleapis.com ל-restricted.googleapis.com עם הערכים הבאים:

   • שם DNS: ‏*.googleapis.com.

   • נתונים מחנויות מקומיות: restricted.googleapis.com.

   • סוג הרשומה: A

   • ‫TTL: 300

   • נתוני RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   טווח כתובות ה-IP של restricted.googleapis.com הוא 199.36.153.4/30.

אחרי שתבצעו את השלבים האלה, הבקשות שמקורן בתוך רשת ה-VPC לא יוכלו לצאת מרשת ה-VPC, וכך תמנע תעבורת נתונים יוצאת (egress) מחוץ לגבולות גזרה לשירות. הבקשות האלה יכולות להגיע רק לממשקי API ולשירותים של Google שבודקים את VPC Service Controls, וכך למנוע העברה לא מורשית של נתונים דרך ממשקי API של Google.

הגדרות נוספות

בהתאם למוצרים שבהם אתם משתמשים עם Gemini, חשוב לקחת בחשבון את הנקודות הבאות: Google Cloud

• מכונות לקוח שמחוברות להיקף. למכונות שנמצאות בתוך ההיקף של אמצעי הבקרה של שירות VPC יש גישה לכל ממשקי Gemini. אפשר גם להרחיב את גבולות הגזרה ל- Cloud VPN או ל-Cloud Interconnect מורשים מרשת חיצונית.

• מכונות לקוח מחוץ להיקף. אם יש לכם מכונות לקוח מחוץ לגבולות הגזרה לשירות, אתם יכולים להעניק גישה מבוקרת לשירות Gemini המוגבל.

  • מידע נוסף זמין במאמר מתן גישה למשאבים מוגנים מחוץ להיקף.

  • דוגמה ליצירת רמת גישה ברשת ארגונית מופיעה במאמר הגבלת הגישה ברשת ארגונית.

  • חשוב לעיין במגבלות כשמשתמשים ב-VPC Service Controls עם Gemini.

• ‫Gemini Code Assist. כדי לעמוד בדרישות של VPC Service Controls, צריך לוודא שלסביבת הפיתוח המשולבת או לתחנת העבודה שבהם אתם משתמשים אין גישה אל https://www.google.com/tools/feedback/mobile דרך מדיניות חומת האש.

  • Gemini Code Assist ב-GitHub. אם רוצים להפעיל את האפשרות שיפור איכות התשובות, לא כדאי למקם את פרויקט Google Cloud בגבולות גזרה לשירות של VPC Service Controls.

• ‫Cloud Workstations. אם אתם משתמשים ב-Cloud Workstations, אתם צריכים לפעול לפי ההוראות שבמאמר הגדרת VPC Service Controls ואשכולות פרטיים.

המאמרים הבאים

• לקבלת מידע על ההצעות לשמירה על תאימות ב- Google Cloud, ראה Compliance resource center.