Gemini Enterprise puede conectarse de forma segura a fuentes de datos de terceros, autohospedadas y administradas por el cliente. Estas conexiones se establecen a través de los servicios del productor de Private Service Connect.
Este modelo de conectividad garantiza que los datos sensibles permanezcan bajo tu control y dentro de los límites de tu red, a la vez que permite que Gemini Enterprise acceda a la información contenida en estas fuentes de datos y la use. El uso de Private Service Connect te permite establecer un canal de comunicación seguro y escalable, que omite la Internet pública y minimiza los posibles riesgos de seguridad asociados con las configuraciones de red tradicionales.
Gemini Enterprise admite los siguientes patrones de fuentes de datos alojadas por el usuario:
Local o de múltiples nubes: Fuentes de datos implementadas en tu centro de datos o en otro proveedor de servicios en la nube (por ejemplo, Amazon Web Services EC2 o EKS, o máquinas virtuales de Microsoft Azure), con conectividad de red híbrida.
Google Kubernetes Engine: Son fuentes de datos alojadas en clústeres de GKE.
Google Cloud Compute Engine: Son las fuentes de datos implementadas en las VMs de Google Compute Engine.
Usa Private Service Connect con servicios autoalojados
Private Service Connect es una Google Cloud función de redes que permite el acceso privado desde la red de nube privada virtual de un consumidor a los servicios administrados. Crea una conexión segura y explícita entre un consumidor de servicios y un productor de servicios, lo que elimina la necesidad de intercambio de tráfico de la nube privada virtual, el enrutamiento complejo o las direcciones IP públicas.
Puedes configurar una implementación de Private Service Connect de Gemini Enterprise con lo siguiente:
Gemini Enterprise como consumidor del servicio
Tu red, que contiene balanceadores de cargas que hacen referencia a recursos de procesamiento locales, de varias nubes o de Google Cloud , como el productor de servicios
Para obtener información sobre aspectos específicos del uso de Private Service Connect para conectar tu servicio autoalojado a Gemini Enterprise, consulta las siguientes secciones.
Configuración de la red y la subred de VPC
Ten en cuenta lo siguiente:
La asignación de proxy está a nivel de la VPC, no a nivel del balanceador de cargas. Debes crear una subred de solo proxy en cada región de una red virtual (VPC) en la que uses balanceadores de cargas basados en Envoy. Si implementas múltiples balanceadores de cargas en la misma región y red de VPC, estos comparten la misma subred de solo proxy para el balanceo de cargas.
Los sondeos de verificación de estado se originan en los proxies de Envoy ubicados en la subred de solo proxy dentro de la región. Para que los sondeos de verificación de estado funcionen correctamente, debes crear reglas de firewall en el entorno externo que permitan que el tráfico de la subred de solo proxy llegue a tus backends externos.
La subred de solo proxy es la subred de origen que segmenta la base de datos entre nubes. Asegúrate de que un Cloud Router anuncie esta subred. Para obtener más información, consulta Anuncia subredes de VPC específicas.
La subred de solo proxy debe estar en la lista de entidades permitidas del firewall local o de Cross-Cloud.
Debes crear subredes de solo proxy sin importar si tu red de VPC está en modo automático o personalizado. Una subred de solo proxy debe proporcionar 64 direcciones IP o más. Esto corresponde a una longitud de prefijo de /26 o menor. El tamaño de subred recomendado es /23 (512 direcciones de solo proxy).
Subred de NAT de Private Service Connect
Los paquetes de la red de VPC del consumidor se traducen con NAT de origen (SNAT), de modo que sus direcciones IP de origen originales se conviertan en direcciones IP de origen de la subred NAT en la red de VPC del productor. Private Service Connect para subredes NAT no puede alojar cargas de trabajo.
El tamaño mínimo de la subred para una NAT de Private Service Connect es /29. Puedes agregar subredes NAT adicionales a un adjunto de servicio en cualquier momento, sin interrumpir el tráfico.
Puedes supervisar los servicios publicados con paneles predefinidos o métricas de consumo de NAT de Private Service Connect. Google Cloud
Configuración del balanceador de cargas
Un productor de servicios coloca su aplicación o servicio detrás de un Google Cloud balanceador de cargas interno. Te recomendamos que uses un balanceador de cargas de proxy TCP interno. Si usas Google Kubernetes Engine, puedes usar un balanceador de cargas de red de transferencia interno.
Debido a que Gemini Enterprise no está disponible en todas las ubicaciones, debes habilitar el acceso global cuando crees la regla de reenvío del balanceador de cargas interno. Si no habilitas el acceso global, es posible que falle la creación del extremo para Gemini Enterprise (el consumidor del servicio). Asegúrate de haber habilitado el acceso global antes de crear el adjunto de servicio de Private Service Connect. Para obtener más información sobre el acceso del cliente a los balanceadores de cargas internos, consulta Acceso del cliente.
Configuración del adjunto de servicio
Para publicar un servicio con Private Service Connect, un productor de servicios crea un adjunto de servicio. Este adjunto permite que los consumidores de servicios, como Gemini Enterprise, se conecten al servicio del productor. Para obtener información sobre cómo publicar un servicio y crear un adjunto de servicio, consulta Publica un servicio.
El productor de servicios tiene dos opciones principales para controlar las conexiones de los consumidores, que se administran con las siguientes preferencias de conexión:
Aceptar automáticamente todas las conexiones: Esto permite que cualquier consumidor se conecte sin aprobación explícita.
Aceptar conexiones para los proyectos seleccionados (aprobación explícita): Esta opción requiere que apruebes manualmente cada proyecto que solicite una conexión. Con esta opción, puedes aceptar o rechazar un proyecto.
Si usas la aprobación explícita del proyecto, para establecer una conexión con tu vinculación de servicio, debes hacer lo siguiente:
Crea un almacén de datos (por ejemplo, un almacén de datos de Jira Data Center).
En la página Private Service Connect de la consola de Google Cloud, acepta la conexión pendiente del proyecto de usuario de Gemini Enterprise para tu nuevo almacén de datos. Puedes identificar el proyecto del usuario por su ID del proyecto, que termina en
-tp. Para obtener más información, consulta Administra solicitudes de acceso a un servicio publicado.En la página Gemini Enterprise de la consola de Google Cloud , en Almacenes de datos, haz clic en el nombre de tu nuevo almacén de datos para ver su estado. El estado del almacén de datos se muestra en su página Datos.
No podrás ver el ID del proyecto de usuario de Gemini Enterprise hasta que crees un almacén de datos. El estado del almacén de datos permanecerá como Creando hasta que aceptes la conexión del proyecto en Private Service Connect.
Cuando crees un adjunto de servicio, no selecciones el protocolo de proxy, a menos que el servicio autohospedado lo admita. Si lo haces, se producirá un error de SSL/TLS. Puedes anular la selección del protocolo de proxy editando el adjunto de servicio.
Configuración de firewall
Configura reglas de firewall de entrada para permitir el tráfico entre la subred NAT de Private Service Connect y las VMs de backend en el balanceador de cargas del servicio del productor. Si usas un NEG híbrido o de Internet como backend, no se requieren reglas de firewall.
¿Qué sigue?
Para obtener más información sobre cómo Gemini Enterprise se integra con Private Service Connect, consulta los siguientes codelabs en Google Developer Codelabs:
Para obtener más información sobre el uso de un balanceador de cargas interno en redes de VPC en Google Kubernetes Engine, consulta Crea un balanceador de cargas interno en las redes de VPC.