Configurar el acceso privado a la interfaz de usuario

De forma predeterminada, los usuarios acceden a las interfaces de Gemini Enterprise para usar funciones como agentes, el asistente y NotebookLM Enterprise a través de Internet público. Para cumplir los requisitos de seguridad de la organización, puedes establecer un acceso privado a la interfaz de usuario mediante soluciones de redes híbridas, como Cloud VPN o Cloud Interconnect.

Para configurar la conectividad privada a Gemini Enterprise, debes enrutar el tráfico de la APIGoogle Cloud a través de un endpoint de Private Service Connect (PSC). De esta forma, los usuarios pueden acceder a las interfaces de Gemini Enterprise a través de una dirección IP interna de tu nube privada virtual (VPC), lo que evita la necesidad de usar Internet público.

Arquitectura de referencia que usa Controles de Servicio de VPC para proporcionar acceso privado a las interfaces de usuario de Gemini Enterprise.
Arquitectura de referencia que usa Controles de Servicio de VPC para proporcionar acceso privado a las interfaces de usuario de Gemini Enterprise.

En esta arquitectura de referencia, los usuarios on-premise o multinube se conectan a un endpoint de PSC, lo que permite acceder a las APIs de Google a través de una dirección IP interna definida por el usuario en tuGoogle Cloud Virtual Private Cloud. Además, debes configurar tu DNS interno para que resuelva los dominios de Gemini Enterprise en la dirección IP del endpoint de PSC.

Limitaciones

Deep Research y la generación de vídeo dependen del dominio discoveryengine.clients6.google.com. Este dominio no es compatible con Private Service Connect. Para usar estas funciones, tu red debe permitir la resolución de DNS pública y el acceso a Internet para el dominio discoveryengine.clients6.google.com.

Antes de empezar

Antes de configurar el acceso a la interfaz de usuario privada, asegúrate de que tienes lo siguiente:

  • Una red de nube privada virtual (VPC) conectada a tu red on-premise a través de Cloud Router, mediante Cloud VPN o Cloud Interconnect. Google Cloud

  • Permisos para crear endpoints de Private Service Connect y gestionar rutas personalizadas de Cloud Router.

Configurar Private Service Connect

Las direcciones IP virtuales (VIPs) privadas y restringidas que se usan para Acceso privado de Google no admiten el acceso privado a la interfaz de usuario de Gemini Enterprise. Para disfrutar de todas las funciones, debes resolver los dominios de Gemini Enterprise en un endpoint de Private Service Connect configurado con el paquete all-apis.

  1. Crea un endpoint de PSC en la misma nube privada virtual que el Cloud Router que se usa para la red híbrida.

  2. Selecciona el paquete de APIs Todas las APIs de Google. Este paquete proporciona acceso a la mayoría de las APIs de Google, incluidos los *.googleapis.comendpoints de servicio. El paquete de APIs VPC-SC no admite todos los dominios de Gemini Enterprise.

Configurar el enrutamiento de red

El endpoint de PSC usa una dirección IP /32 que no procede de una subred de VPC estándar y no será visible desde redes locales o multicloud. Debes configurar tu Cloud Router para que anuncie la dirección IP. Para obtener más información sobre los requisitos de las direcciones IP de los puntos finales de Private Service Connect, consulta Requisitos de las direcciones IP.

  1. Identifica la dirección IP que has asignado al endpoint de PSC.

  2. En la configuración de Cloud Router, crea una ruta personalizada para la dirección IP. Para obtener más información sobre cómo especificar rutas anunciadas personalizadas en un Cloud Router, consulte Anunciar intervalos de direcciones personalizadas.

  3. Actualiza los cortafuegos on-premise o multinube para permitir el tráfico saliente a la dirección IP.

Actualizar la configuración de DNS

Por último, actualiza la configuración de DNS para resolver los dominios de Gemini Enterprise mediante el endpoint de PSC. Para obtener más información, consulta el artículo Crear registros DNS con nombres DNS predeterminados.

  1. Configura los registros DNS de la red interna local o en la nube para resolver los siguientes dominios de Gemini Enterprise en la dirección IP interna del endpoint de PSC:

    • vertexaisearch.cloud.google.com

    • notebooklm.cloud.google.com

    • discoveryengine.googleapis.com

    • discoveryengine.mtls.googleapis.com

    • discoveryengine.mtls.clients6.google.com

    • accounts.googleapis.com

  2. Si tu entorno requiere límites estrictos de protección contra la exfiltración de datos, configura el dominio discoveryengine.googleapis.com en la dirección IP del paquete de VPC-SC.

Información sobre cómo proteger tu aplicación con Controles de Servicio de VPC

Para disfrutar de una seguridad avanzada, puedes implementar Controles de Servicio de VPC (VPC-SC) para evitar la exfiltración de datos de servicios gestionados como Gemini Enterprise y BigQuery. A diferencia de Gestión de Identidades y Accesos, que controla quién puede acceder a los datos, los controles de servicio de VPC determinan dónde se puede acceder a los datos y dónde se pueden mover.

Si te planteas usar este método, ten en cuenta lo siguiente:

  • Aunque es opcional, se recomienda usar Controles de Servicio de VPC para bloquear el acceso público a los servicios de Google expuestos a través de googleapis.com.

  • Entre otras implicaciones, los servicios (como discoveryengine.googleapis.com) que se añaden a un perímetro de Controles de Servicio de VPC se bloquean para todo el acceso público, incluido el acceso a través de la consola Google Cloud .

  • Para permitir el acceso a los servicios protegidos dentro de un perímetro de VPC-SC, los administradores deben permitir explícitamente el acceso mediante reglas de acceso de VPC-SC o definiendo niveles de acceso con Access Context Manager.

Para obtener más información sobre cómo proteger tu aplicación de Gemini Enterprise con Controles de Servicio de VPC y Gestor de Contexto de Acceso, consulta el artículo Proteger tu aplicación con Controles de Servicio de VPC.