Configure o VPC Service Controls para o Gemini

Este documento mostra como configurar o VPC Service Controls para suportar o Gemini para Google Cloud, um colaborador com tecnologia de IA no Google Cloud. Para concluir esta configuração, faça o seguinte:

  1. Atualize o perímetro de serviço da sua organização para incluir o Gemini. Este documento pressupõe que já tem um perímetro de serviço ao nível da organização. Para mais informações sobre os perímetros de serviço, consulte o artigo Detalhes e configuração do perímetro de serviço.

  2. Nos projetos nos quais ativou o acesso ao Gemini, configure as redes da VPC para bloquear o tráfego de saída, exceto o tráfego para o intervalo de IPs virtuais restrito.

Antes de começar

  1. Certifique-se de que o Gemini Code Assist está configurado para a sua Google Cloud conta de utilizador e projeto.

  2. Certifique-se de que tem as funções de gestão de identidade e de acesso (IAM) necessárias para configurar e administrar os VPC Service Controls.

  3. Certifique-se de que tem um perímetro de serviço ao nível da organização que pode usar para configurar o Gemini. Se não tiver um perímetro de serviço a este nível, pode criar um.

Adicione o Gemini ao seu perímetro de serviço

Para usar os VPC Service Controls com o Gemini, adicione o Gemini ao perímetro de serviço ao nível da organização. O perímetro de serviço tem de incluir todos os serviços que usa com o Gemini e outros serviços que quer proteger. Google Cloud

Para adicionar o Gemini ao seu perímetro de serviço, siga estes passos:

  1. Na Google Cloud consola, aceda à página VPC Service Controls.

    Aceda aos VPC Service Controls

  2. Selecione a sua organização.

  3. Na página VPC Service Controls, clique no nome do seu perímetro.

  4. Clique em Adicionar recursos e faça o seguinte:

    1. Para cada projeto no qual ativou o Gemini, no painel Adicionar recursos, clique em Adicionar projeto e, de seguida, faça o seguinte:

    2. Na caixa de diálogo Adicionar projetos, selecione os projetos que quer adicionar.

      Se estiver a usar a VPC partilhada, adicione o projeto anfitrião e os projetos de serviço ao perímetro de serviço.

    3. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na secção Projetos.

    4. Para cada rede de VPC nos seus projetos, no painel Adicionar recursos, clique em Adicionar rede de VPC e, de seguida, faça o seguinte:

    5. Na lista de projetos, clique no projeto que contém a rede VPC.

    6. Na caixa de diálogo Adicionar recursos, selecione a caixa de verificação da rede de VPC.

    7. Clique em Adicionar recursos selecionados. A rede adicionada é apresentada na secção Redes VPC.

  5. Clique em Serviços restritos e faça o seguinte:

    1. No painel Serviços restritos, clique em Adicionar serviços.

    2. Na caixa de diálogo Especificar serviços a restringir, selecione API Gemini para Google Cloud e API Gemini Code Assist como os serviços que quer proteger no perímetro.

    3. Se planeia usar a personalização de código, selecione também a API Developer Connect. Para mais informações acerca do Developer Connect, consulte a vista geral do Developer Connect.

      Para saber como usar restrições personalizadas do serviço de políticas da organização para restringir operações específicas no developerconnect.googleapis.com/Connection e no developerconnect.googleapis.com/GitRepositoryLink, consulte o artigo Crie políticas da organização personalizadas.

    1. Clique em Adicionar n serviços, onde n é o número de serviços que selecionou no passo anterior.

  6. Opcional: se os seus programadores precisarem de usar o Gemini no perímetro do plug-in do Cloud Code nos respetivos IDEs, tem de configurar a política de entrada.

    A ativação dos VPC Service Controls para o Gemini impede todo o acesso a partir do exterior do perímetro, incluindo a execução de extensões do IDE do Gemini Code Assist a partir de máquinas que não se encontram no perímetro, como portáteis da empresa. Por conseguinte, estes passos são necessários se quiser usar o Gemini com o plug-in Gemini Code Assist.

    1. Clique em Política de entrada.

    2. No painel Regras de entrada, clique em Adicionar regra.

    3. Em Dos atributos do cliente API, especifique as origens de fora do perímetro que requerem acesso. Pode especificar projetos, níveis de acesso e redes VPC como origens.

    4. Em To attributes of Google Cloud resources/services, especifique o nome do serviço do Gemini e da API Gemini Code Assist.

    Para ver uma lista de atributos de regras de entrada, consulte a Referência de regras de entrada.

  7. Opcional: se a sua organização usar o Access Context Manager e quiser conceder aos programadores acesso a recursos protegidos a partir do exterior do perímetro, defina os níveis de acesso:

    1. Clique em Níveis de acesso.

    2. No painel Política de entrada: níveis de acesso, selecione o campo Escolher nível de acesso.

    3. Selecione as caixas de verificação correspondentes aos níveis de acesso que quer aplicar ao perímetro.

  8. Clique em Guardar.

Depois de concluir estes passos, o VPC Service Controls verifica todas as chamadas à API Gemini for Google Cloud para garantir que têm origem no mesmo perímetro.

Configure redes VPC

Tem de configurar as suas redes VPC para que os pedidos enviados para o IP virtual normal sejam encaminhados automaticamente para o intervalo de IP virtual (VIP) restrito, 199.36.153.4/30 (restricted.googleapis.com), onde o seu serviço Gemini está a ser publicado.googleapis.com Não tem de alterar nenhuma configuração nas extensões do IDE do Gemini Code Assist.

Para cada rede VPC no seu projeto, siga estes passos para bloquear o tráfego de saída, exceto o tráfego para o intervalo de IP virtual restrito:

  1. Ative o acesso privado à Google nas sub-redes que alojam os recursos da sua rede VPC.

  2. Configure regras de firewall para impedir que os dados saiam da rede da VPC.

    1. Crie uma regra de negação de saída que bloqueie todo o tráfego de saída.
    1. Crie uma regra de saída de permissão que permita o tráfego para 199.36.153.4/30 na porta TCP 443. Certifique-se de que a regra de permissão de saída tem uma prioridade antes da regra de negação de saída que acabou de criar. Isto permite a saída apenas para o intervalo de IP virtual restrito.

  3. Crie uma política de resposta do Cloud DNS.

  4. Crie uma regra para a política de respostas para resolver *.googleapis.com para restricted.googleapis.com com os seguintes valores:

    • Nome DNS: *.googleapis.com.

    • Dados locais: restricted.googleapis.com.

    • Tipo de registo: A

    • TTL: 300

    • Dados de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    O intervalo de endereços IP para restricted.googleapis.com é 199.36.153.4/30.

Depois de concluir estes passos, os pedidos originados na rede VPC não podem sair da rede VPC, o que impede a saída fora do perímetro de serviço. Estes pedidos só podem alcançar as APIs e os serviços Google que verificam os VPC Service Controls, o que impede a exfiltração através das APIs Google.

Configurações adicionais

Dependendo dos Google Cloud produtos que usa com o Gemini, tem de ter em atenção o seguinte:

  • Máquinas cliente ligadas ao perímetro. As máquinas que estão dentro do perímetro do VPC Service Controls podem aceder a todas as experiências do Gemini. Também pode expandir o perímetro para um Cloud VPN ou Cloud Interconnect autorizado a partir de uma rede externa.

  • Máquinas cliente fora do perímetro. Quando tem máquinas cliente fora do perímetro de serviço, pode conceder acesso controlado ao serviço Gemini restrito.

  • Gemini Code Assist. Para agir em conformidade com os VPC Service Controls, certifique-se de que o IDE ou a estação de trabalho que está a usar não tem acesso a https://www.google.com/tools/feedback/mobile através de políticas de firewall.

  • Cloud Workstations. Se usar o Cloud Workstations, siga as instruções em Configure os VPC Service Controls e os clusters privados.

O que se segue?