Gemini Enterprise può connettersi in modo sicuro a origini dati di terze parti autogestite e ospitate dal cliente. Queste connessioni vengono stabilite tramite i servizi producer di Private Service Connect.
Questo modello di connettività garantisce che i dati sensibili rimangano sotto il tuo controllo e nei limiti della rete, consentendo a Gemini Enterprise di accedere e utilizzare le informazioni contenute in queste origini dati. L'utilizzo di Private Service Connect ti consente di stabilire un canale di comunicazione sicuro e scalabile, bypassando la rete internet pubblica e riducendo al minimo i potenziali rischi per la sicurezza associati alle configurazioni di rete tradizionali.
Gemini Enterprise supporta i seguenti pattern di origini dati self-hosted:
On-premise o multi-cloud: origini dati di cui è stato eseguito il deployment nel tuo data center o in un altro provider cloud (ad esempio Amazon Web Services EC2 o EKS oppure macchine virtuali Microsoft Azure), utilizzando la connettività di rete ibrida.
Google Kubernetes Engine: origini dati ospitate all'interno dei cluster GKE.
Google Cloud Compute Engine: origini dati di cui è stato eseguito il deployment su VM Google Compute Engine.
Utilizzo di Private Service Connect con servizi self-hosted
Private Service Connect è una funzionalità di Google Cloud networking che consente l'accesso privato dalla rete Virtual Private Cloud di un consumer ai servizi gestiti. Crea una connessione sicura ed esplicita tra un consumer di servizi e un producer di servizi, eliminando la necessità di peering Virtual Private Cloud, routing complesso o indirizzi IP pubblici.
Puoi configurare un deployment di Gemini Enterprise Private Service Connect con quanto segue:
Gemini Enterprise come consumer di servizi
La tua rete, contenente bilanciatori del carico che fanno riferimento a risorse di calcolo on-premise, multi-cloud o Google Cloud , in qualità di producer di servizi
Per informazioni su aspetti specifici dell'utilizzo di Private Service Connect per connettere il servizio self-hosted a Gemini Enterprise, consulta le seguenti sezioni.
Configurazione di rete VPC e subnet
Tieni presente che:
L'allocazione dei proxy avviene a livello di VPC, non a livello di bilanciatore del carico. Devi creare una subnet solo proxy in ogni regione di una rete virtuale (VPC) in cui utilizzi bilanciatori del carico basati su Envoy. Se esegui il deployment di più bilanciatori del carico nella stessa regione e nella stessa rete VPC, questi condividono la stessa subnet solo proxy per il bilanciamento del carico.
I probe del controllo di integrità hanno origine dai proxy Envoy che si trovano nella subnet solo proxy all'interno della regione. Affinché i probe del controllo di integrità funzionino correttamente, devi creare regole firewall nell'ambiente esterno che consentano al traffico dalla subnet solo proxy di raggiungere i backend esterni.
La subnet solo proxy è la subnet di origine che ha come target il database cross-cloud. Assicurati che questa subnet venga annunciata da un router Cloud. Per maggiori informazioni, consulta Annuncio di subnet VPC specifiche.
La subnet solo proxy deve essere inclusa nella lista consentita del firewall on-premise o cross-cloud.
Devi creare subnet solo proxy indipendentemente dal fatto che la rete VPC sia in modalità automatica o personalizzata. Una subnet solo proxy deve fornire almeno 64 indirizzi IP. Questo requisito corrisponde a una lunghezza del prefisso pari o inferiore a /26. La dimensione consigliata della subnet è /23 (512 indirizzi solo proxy).
Subnet NAT Private Service Connect
I pacchetti provenienti dalla rete VPC consumer vengono tradotti utilizzando il source NAT (SNAT), in modo che gli indirizzi IP di origine originali vengano convertiti in indirizzi IP di origine dalla subnet NAT nella rete VPC del producer. Private Service Connect per le subnet NAT non può ospitare carichi di lavoro.
La dimensione minima della subnet per un NAT Private Service Connect è /29. Puoi aggiungere subnet NAT aggiuntive a un collegamento del servizio in qualsiasi momento, senza interrompere il traffico.
Puoi monitorare i servizi pubblicati utilizzando dashboard predefinite o Google Cloud metriche per il consumo NAT di Private Service Connect.
Configurazione del bilanciatore del carico
Un producer di servizi inserisce la propria applicazione o il proprio servizio dietro un Google Cloud bilanciatore del carico interno. Ti consigliamo di utilizzare un bilanciatore del carico proxy TCP interno. Se utilizzi Google Kubernetes Engine, puoi utilizzare un bilanciatore del carico di rete passthrough interno.
Poiché Gemini Enterprise non è disponibile in tutte le località, devi attivare l'accesso globale quando crei la regola di forwarding del bilanciatore del carico interno. Se non attivi l'accesso globale, la creazione dell'endpoint per Gemini Enterprise (il consumer di servizi) potrebbe non riuscire. Assicurati di aver attivato l'accesso globale prima di creare il collegamento di servizio Private Service Connect. Per saperne di più sull'accesso client per i bilanciatori del carico interni, vedi Accesso client.
Configurazione del collegamento del servizio
Per pubblicare un servizio utilizzando Private Service Connect, un producer di servizi crea un collegamento di servizio. Questo allegato consente ai consumer di servizi, come Gemini Enterprise, di connettersi al servizio del producer. Per informazioni sulla pubblicazione di un servizio e sulla creazione di un collegamento a un servizio, vedi Pubblicare un servizio.
Il producer di servizi ha due opzioni principali per controllare le connessioni dei consumer, gestite utilizzando le seguenti preferenze di connessione:
Accetta automaticamente tutte le connessioni: consente a qualsiasi consumatore di connettersi, senza approvazione esplicita.
Accetta connessioni per i progetti selezionati (approvazione esplicita): devi approvare manualmente ogni progetto che richiede una connessione. Con questa opzione, puoi scegliere di accettare o rifiutare un progetto.
Se utilizzi l'approvazione esplicita del progetto, per stabilire una connessione al collegamento al servizio, devi:
Crea un datastore (ad esempio, un datastore Jira Data Center).
Nella pagina Private Service Connect della console Google Cloud, accetta la connessione in attesa dal progetto tenant Gemini Enterprise per il nuovo datastore. Puoi identificare il progetto tenant dal suo ID progetto, che termina con
-tp. Per saperne di più, vedi Gestire le richieste di accesso a un servizio pubblicato.Nella pagina Gemini Enterprise della console Google Cloud , in Datastore, fai clic sul nome del nuovo datastore per visualizzarne lo stato. Lo stato del datastore viene mostrato nella pagina Data (Dati).
Non puoi visualizzare l'ID progetto tenant Gemini Enterprise finché non crei un datastore. Lo stato del datastore rimane Creating (Creazione in corso) finché non accetti la connessione al progetto in Private Service Connect.
Quando crei un collegamento del servizio, non selezionare il protocollo proxy a meno che non sia supportato dal servizio self-hosted. In questo modo si verifica un errore SSL/TLS. Puoi deselezionare il protocollo proxy modificando il collegamento del servizio.
Configurazione del firewall
Configura le regole firewall in entrata per consentire il traffico tra la subnet NAT di Private Service Connect e le VM di backend nel bilanciatore del carico del servizio producer. Se utilizzi un NEG ibrido o internet come backend, le regole firewall non sono necessarie.
Passaggi successivi
Per ulteriori informazioni su come Gemini Enterprise si integra con Private Service Connect, consulta i seguenti codelab su Google Developer Codelabs:
Per saperne di più sull'utilizzo di un bilanciatore del carico interno nelle reti VPC su Google Kubernetes Engine, consulta Crea un bilanciatore del carico interno nelle reti VPC.