Gemini Enterprise puede conectarse de forma segura a fuentes de datos de terceros autohospedadas y gestionadas por el cliente. Estas conexiones se establecen a través de los servicios de productor de Private Service Connect.
Este modelo de conectividad asegura que los datos sensibles permanezcan bajo tu control y dentro de los límites de tu red, al tiempo que permite que Gemini Enterprise acceda a la información contenida en estas fuentes de datos y la use. Con Private Service Connect, puedes establecer un canal de comunicación seguro y escalable, evitando la red pública de Internet y minimizando los posibles riesgos de seguridad asociados a las configuraciones de red tradicionales.
Gemini Enterprise admite los siguientes patrones de fuentes de datos autohospedadas:
On-premise o multinube: fuentes de datos desplegadas en tu centro de datos o en otro proveedor de servicios en la nube (por ejemplo, Amazon Web Services EC2 o EKS, o máquinas virtuales de Microsoft Azure) mediante conectividad de red híbrida.
Google Kubernetes Engine: fuentes de datos alojadas en clústeres de GKE.
Google Cloud Compute Engine: fuentes de datos implementadas en máquinas virtuales de Google Compute Engine.
Usar Private Service Connect con servicios autogestionados
Private Service Connect es una Google Cloud función de red que permite el acceso privado desde la red de nube privada virtual de un consumidor a servicios gestionados. Crea una conexión segura y explícita entre un consumidor de servicios y un productor de servicios, lo que elimina la necesidad de usar el peering de nube privada virtual, el enrutamiento complejo o las direcciones IP públicas.
Puedes configurar una implementación de Private Service Connect de Gemini Enterprise con lo siguiente:
Gemini Enterprise como consumidor del servicio
Tu red, que contiene balanceadores de carga que hacen referencia a recursos de computación on-premise, multicloud o Google Cloud , como productor de servicios
Para obtener información sobre aspectos específicos del uso de Private Service Connect para conectar tu servicio autohosted a Gemini Enterprise, consulta las siguientes secciones.
Configuración de redes y subredes de VPC
Ten en cuenta lo siguiente:
La asignación de proxy se realiza a nivel de VPC, no de balanceador de carga. Debes crear una subred solo proxy en cada región de una red virtual (VPC) en la que uses balanceadores de carga basados en Envoy. Si despliegas varios balanceadores de carga en la misma región y en la misma red VPC, compartirán la misma subred de solo proxy para el balanceo de carga.
Las pruebas de comprobación del estado proceden de los proxies de Envoy ubicados en la subred solo proxy de la región. Para que las sondas de comprobación de estado funcionen correctamente, debes crear reglas de cortafuegos en el entorno externo que permitan que el tráfico de la subred de solo proxy llegue a tus backends externos.
La subred de solo proxy es la subred de origen que tiene como destino la base de datos entre nubes. Asegúrate de que un router de Cloud Router anuncie esta subred. Para obtener más información, consulta el artículo Anunciar subredes específicas de VPC.
La subred de solo proxy debe estar en la lista de permitidos del cortafuegos local o entre nubes.
Debes crear subredes de solo proxy independientemente de si tu red de VPC es de modo automático o personalizado. Una subred de solo proxy debe proporcionar al menos 64 direcciones IP. Esto corresponde a una longitud de prefijo inferior o igual a /26. El tamaño de subred recomendado es /23 (512 direcciones de solo proxy).
Subred NAT de Private Service Connect
Los paquetes de la red de VPC del consumidor se traducen mediante la NAT de origen (SNAT), de modo que sus direcciones IP de origen originales se convierten en direcciones IP de origen de la subred de NAT de la red de VPC del productor. Private Service Connect para subredes NAT no puede alojar cargas de trabajo.
El tamaño mínimo de la subred de una NAT de Private Service Connect es /29. Puede añadir subredes NAT adicionales a un acoplamiento de servicio en cualquier momento sin interrumpir el tráfico.
Puedes monitorizar los servicios publicados mediante paneles de control predefinidos o Google Cloud métricas de consumo de NAT de Private Service Connect.
Configuración del balanceador de carga
Un productor de servicios coloca su aplicación o servicio detrás de un Google Cloud balanceador de carga interno. Te recomendamos que uses un balanceador de carga de proxy TCP interno. Si usas Google Kubernetes Engine, puedes usar un balanceador de carga de red interno de tipo Pasarela.
Como Gemini Enterprise no está disponible en todas las ubicaciones, debes habilitar el acceso global al crear la regla de reenvío del balanceador de carga interno. Si no habilitas el acceso global, es posible que no se puedan crear endpoints para Gemini Enterprise (el consumidor del servicio). Asegúrate de haber habilitado el acceso global antes de crear la vinculación de servicio de Private Service Connect. Para obtener más información sobre el acceso de clientes a balanceadores de carga internos, consulta la sección Acceso de clientes.
Configuración de vinculación de servicio
Para publicar un servicio mediante Private Service Connect, un productor de servicios crea un archivo adjunto de servicio. Este archivo adjunto permite que los consumidores de servicios, como Gemini Enterprise, se conecten al servicio del productor. Para obtener información sobre cómo publicar un servicio y crear un adjunto de servicio, consulta el artículo Publicar un servicio.
El productor del servicio tiene dos opciones principales para controlar las conexiones de los consumidores, que se gestionan mediante las siguientes preferencias de conexión:
Aceptar automáticamente todas las conexiones: permite que cualquier consumidor se conecte sin aprobación explícita.
Aceptar conexiones de los proyectos seleccionados (aprobación explícita): debes aprobar manualmente cada proyecto que solicite una conexión. Con esta opción, puedes aceptar o rechazar un proyecto.
Si usas la aprobación explícita de proyectos, para establecer una conexión con tu adjunto de servicio, debes hacer lo siguiente:
Crea un almacén de datos (por ejemplo, un almacén de datos de Jira Data Center).
En la página Private Service Connect de la consola de Google Cloud, acepta la conexión pendiente del proyecto de inquilino de Gemini Enterprise para tu nuevo almacén de datos. Puedes identificar el proyecto de cliente por su ID, que termina en
-tp. Para obtener más información, consulta Gestionar solicitudes de acceso a un servicio publicado.En la página Gemini Enterprise de la consola, vaya a Almacenes de datos y haga clic en el nombre del nuevo almacén de datos para ver su estado. Google Cloud El estado del almacén de datos se muestra en la página Datos.
No podrás ver el ID del proyecto de inquilino de Gemini Enterprise hasta que crees un almacén de datos. El estado del almacén de datos será Creando hasta que aceptes la conexión del proyecto en Private Service Connect.
Cuando crees una vinculación de servicio, no selecciones el protocolo proxy a menos que lo admita el servicio autohospedado. Si lo haces, se producirá un error de SSL/TLS. Puedes deseleccionar el protocolo proxy editando la vinculación de servicio.
Configuración del cortafuegos
Configura reglas de cortafuegos de entrada para permitir el tráfico entre la subred NAT de Private Service Connect y las VMs de backend del balanceador de carga del servicio productor. Si usas un NEG híbrido o de Internet como backend, no se necesitan reglas de cortafuegos.
Siguientes pasos
Para obtener más información sobre cómo se integra Gemini Enterprise con Private Service Connect, consulta los siguientes codelabs en Google Developer Codelabs:
Para obtener más información sobre cómo usar un balanceador de carga interno en redes de VPC en Google Kubernetes Engine, consulta Crear un balanceador de carga interno en redes de VPC.