Standardmäßig greifen Nutzer über das öffentliche Internet auf Gemini Enterprise-Oberflächen für Funktionen wie KI-Agenten, den Assistenten und NotebookLM Enterprise zu. Um die Sicherheitsanforderungen der Organisation zu erfüllen, können Sie den privaten UI-Zugriff mithilfe von Hybridnetzwerklösungen wie Cloud VPN oder Cloud Interconnect einrichten.
Wenn Sie eine private Verbindung zu Gemini Enterprise konfigurieren möchten, müssen Sie den Google Cloud API-Traffic über einen Private Service Connect-Endpunkt (PSC) weiterleiten. So können Nutzer über eine interne IP-Adresse in Ihrer Virtual Private Cloud (VPC) auf Gemini Enterprise-Oberflächen zugreifen, ohne das öffentliche Internet zu verwenden.
In dieser Referenzarchitektur stellen lokale oder Multi-Cloud-Nutzer eine Verbindung zu einem PSC-Endpunkt her, der den Zugriff auf Google APIs über eine benutzerdefinierte interne IP-Adresse in Ihrer Google Cloud Virtual Private Cloud ermöglicht. Außerdem müssen Sie Ihr internes DNS so konfigurieren, dass Gemini Enterprise-Domains in die IP-Adresse des PSC-Endpunkts aufgelöst werden.
Beschränkungen
Deep Research und die Videogenerierung basieren auf der Domain discoveryengine.clients6.google.com. Diese Domain wird von
Private Service Connect nicht unterstützt. Wenn Sie diese Funktionen verwenden möchten, muss Ihr Netzwerk die öffentliche DNS-Auflösung und den Internetzugriff für die Domain discoveryengine.clients6.google.com zulassen. Außerdem sind discoveryengine.clients6.google.com und die regionalen Varianten für die grundlegenden UI-Funktionen von Gemini Enterprise erforderlich, einschließlich des Standardchats. Diese Domain kann nicht über PSC weitergeleitet werden.
Hinweis
Bevor Sie den privaten UI-Zugriff konfigurieren, müssen Sie Folgendes haben:
Ein Google Cloud Virtual Private Cloud-Netzwerk, das über Cloud Router mit Ihrem lokalen Netzwerk verbunden ist. Verwenden Sie dazu Cloud VPN oder Cloud Interconnect.
Berechtigungen zum Erstellen von Private Service Connect-Endpunkten und zum Verwalten benutzerdefinierter Cloud Router-Routen.
Private Service Connect konfigurieren
Private und eingeschränkte virtuelle IP-Adressen (VIPs), die für den privater Google-Zugriff verwendet werden, unterstützen keinen privaten Zugriff auf die Gemini Enterprise-UI. Damit alle Funktionen verfügbar sind, müssen Sie die Gemini Enterprise-Domains in einen Private Service Connect-Endpunkt auflösen, der mit dem Bundle all-apis konfiguriert ist.
Erstellen Sie einen neuen PSC-Endpunkt in derselben Virtual Private Cloud wie der Cloud Router, der für das Hybridnetzwerk verwendet wird.
Richten Sie den Endpunkt auf das API-Bundle Alle Google APIs aus. Dieses Bundle bietet Zugriff auf die meisten Google APIs, einschließlich der Dienstendpunkte
*.googleapis.com. Das API-Bundle VPC-SC unterstützt nicht alle Gemini Enterprise-Domains.
Netzwerkrouting konfigurieren
Der PSC-Endpunkt verwendet eine /32-IP-Adresse, die nicht aus einem Standard-VPC-Subnetz stammt und nicht in lokalen oder Multi-Cloud-Netzwerken sichtbar ist. Sie müssen Ihren Cloud Router so konfigurieren, dass er die IP-Adresse bewirbt. Weitere Informationen zu den Anforderungen an IP-Adressen für Private Service Connect
Endpunkte finden Sie unter
Anforderungen an IP-Adressen.
Ermitteln Sie die IP-Adresse, die Sie Ihrem PSC-Endpunkt zugewiesen haben.
Erstellen Sie in der Cloud Router-Konfiguration eine benutzerdefinierte Route für die IP-Adresse. Weitere Informationen zum Angeben benutzerdefinierter beworbener Routen in einem Cloud Router finden Sie unter Benutzerdefinierte Adressbereiche bewerben.
Aktualisieren Sie lokale oder Multi-Cloud-Firewalls, um ausgehenden Traffic zur IP-Adresse zuzulassen.
DNS-Einstellungen aktualisieren
Aktualisieren Sie abschließend Ihre DNS-Einstellungen, um die Gemini Enterprise-Domains mithilfe des PSC-Endpunkts aufzulösen. Weitere Informationen finden Sie unter DNS-Einträge mit Standard-DNS-Namen erstellen.
Konfigurieren Sie interne lokale oder Cloud-Netzwerk-DNS-Einträge, um die folgenden Gemini Enterprise-Domains in die interne IP-Adresse des PSC-Endpunkts aufzulösen:
content-discoveryengine.googleapis.comcontent-discoveryengine.mtls.googleapis.comcontent-eu-discoveryengine.googleapis.comcontent-eu-discoveryengine.mtls.googleapis.comcontent-global-discoveryengine.googleapis.comcontent-global-discoveryengine.mtls.googleapis.comcontent-us-discoveryengine.googleapis.comcontent-us-discoveryengine.mtls.googleapis.comdiscoveryengine.googleapis.comdiscoveryengine.mtls.googleapis.comeu-discoveryengine.googleapis.comeu-discoveryengine.mtls.googleapis.comglobal-discoveryengine.googleapis.comglobal-discoveryengine.mtls.googleapis.comus-discoveryengine.googleapis.comus-discoveryengine.mtls.googleapis.comvertexaisearch.cloud.google.comvertexaisearch.cloud.googlenotebooklm.cloud.google.comnotebooklm.cloud.googleauth.cloud.googlepayments.cloud.googleaccounts.googleapis.com
Wenn für Ihre Umgebung strenge Grenzen für den Schutz vor Daten-Exfiltration erforderlich sind, konfigurieren Sie die Domain
discoveryengine.googleapis.comfür die IP-Adresse des VPC-SC-Bundles.
Wichtig:Deep Research und die Videogenerierung basieren auf der Domain discoveryengine.clients6.google.com. Diese Domain wird von Private Service Connect nicht unterstützt und erfordert eine öffentliche DNS-Auflösung und Internetzugriff. Die Domain discoveryengine.clients6.google.com und die regionalen Varianten sind für die grundlegenden UI-Funktionen von Gemini Enterprise erforderlich, einschließlich des Standardchats. Diese Domain kann nicht über PSC weitergeleitet werden.
App mit VPC Service Controls schützen
Für mehr Sicherheit können Sie VPC Service Controls (VPC-SC) implementieren, um die Daten-Exfiltration aus verwalteten Diensten wie Gemini Enterprise und BigQuery zu verhindern. Im Gegensatz zu Identity and Access Management, die steuert, wer auf Daten zugreifen kann, legen VPC-SC-Steuerelemente fest, wo auf Daten zugegriffen und wohin sie verschoben werden können.
Wenn Sie diesen Ansatz in Betracht ziehen, beachten Sie Folgendes:
Die Verwendung von VPC Service Controls ist zwar optional, aber eine Best Practice, um den öffentlichen Zugriff auf Google-Dienste zu blockieren, die über
googleapis.comverfügbar gemacht werden.Dienste wie
discoveryengine.googleapis.com, die einem VPC-SC-Perimeter hinzugefügt werden, werden für alle öffentlichen Zugriffe blockiert, einschließlich des Zugriffs über die Google Cloud Console.Um den Zugriff auf geschützte Dienste innerhalb eines VPC-SC-Perimeters zu ermöglichen, müssen Administratoren den eingehenden Traffic explizit zulassen. Dazu können sie VPC-SC-Eingangsregeln verwenden oder Zugriffsebenen mit Access Context Manager definieren.
Weitere Informationen zum Schützen Ihrer Gemini Enterprise-App mit VPC-SC und Access Context Manager finden Sie unter App mit VPC Service Controls schützen.