Nota: Esta documentación se aplica a las ediciones Standard, Plus y Frontline de Gemini Enterprise. Para obtener información sobre la edición Business, consulta el Centro de ayuda de Gemini Enterprise - edición Business.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configura el acceso privado a la IU

De forma predeterminada, los usuarios acceden a las interfaces de Gemini Enterprise para funciones como agentes, el asistente y NotebookLM Enterprise a través de Internet pública. Para cumplir con los requisitos de seguridad de la organización, puedes establecer un acceso privado a la IU con soluciones de redes híbridas como Cloud VPN o Cloud Interconnect.

Para configurar la conectividad privada a Gemini Enterprise, debes enrutar Google Cloud el tráfico de la API a través de un extremo de Private Service Connect (PSC) . Esto permite que los usuarios accedan a las interfaces de Gemini Enterprise a través de una dirección IP interna dentro de tu nube privada virtual (VPC), lo que evita Internet pública.

Arquitectura de referencia que usa Controles del servicio de VPC para proporcionar acceso privado a las IU de Gemini Enterprise. — Arquitectura de referencia que usa los Controles del servicio de VPC para proporcionar acceso privado a las IUs de Gemini Enterprise.

En esta arquitectura de referencia, los usuarios locales o de varias nubes se conectan a un extremo de PSC, lo que permite el acceso a las APIs de Google a través de una dirección IP interna definida por el usuario dentro de tu Google Cloud nube privada virtual. Además, debes configurar tu DNS interno para resolver los dominios de Gemini Enterprise en la dirección IP del extremo de PSC.

Limitaciones

Deep Research y la generación de video dependen del dominio discoveryengine.clients6.google.com. Private Service Connect no admite este dominio. Para usar estas funciones, tu red debe permitir la resolución de DNS pública y el acceso a Internet para el dominio discoveryengine.clients6.google.com.

Antes de comenzar

Antes de configurar el acceso privado a la IU, asegúrate de tener lo siguiente:

Una red de nube privada virtual conectada a tu red local a través de Cloud Router, con Cloud VPN o Cloud Interconnect. Google Cloud
Permisos para crear extremos de Private Service Connect y administrar rutas personalizadas de Cloud Router.

Configura Private Service Connect

Las direcciones IP virtuales (VIP) privadas y restringidas que se usan para el Acceso privado a Google no admiten el acceso privado a la IU de Gemini Enterprise. Para garantizar la funcionalidad completa, debes resolver los dominios de Gemini Enterprise en un extremo de Private Service Connect configurado con el paquete all-apis.

Crea un extremo de PSC nuevo en la misma nube privada virtual que el Cloud Router que se usa para las redes híbridas.
Dirígete al paquete de API de Todas las APIs de Google. Este paquete proporciona acceso a la mayoría de las APIs de Google, incluidos los extremos de servicio *.googleapis.com. El paquete de API de VPC-SC no admite todos los dominios de Gemini Enterprise.

Configura el enrutamiento de red

El extremo de PSC usa una dirección IP /32 que no se origina en una subred de VPC estándar y no será visible desde redes locales o de varias nubes. Debes configurar tu Cloud Router para que anuncie la dirección IP. Para obtener más información sobre los requisitos de direcciones IP para los extremos de Private Service Connect, consulta Requisitos de direcciones IP.

Identifica la dirección IP que asignaste a tu extremo de PSC.
En la configuración de Cloud Router, crea una ruta personalizada para la dirección IP. Para obtener más información sobre cómo especificar rutas anunciadas personalizadas en un Cloud Router, consulta Anuncia rangos de direcciones personalizados.
Actualiza los firewalls locales o de varias nubes para permitir el tráfico saliente a la dirección IP.

Actualiza la configuración de DNS

Por último, actualiza la configuración de DNS para resolver los dominios de Gemini Enterprise con el extremo de PSC. Para obtener más información, consulta Crea registros DNS con nombres DNS predeterminados.

Configura los registros DNS de la red local o de la nube interna para resolver los siguientes dominios de Gemini Enterprise en la dirección IP interna del extremo de PSC:
- content-discoveryengine.googleapis.com
- content-discoveryengine.mtls.googleapis.com
- content-eu-discoveryengine.googleapis.com
- content-eu-discoveryengine.mtls.googleapis.com
- content-global-discoveryengine.googleapis.com
- content-global-discoveryengine.mtls.googleapis.com
- content-us-discoveryengine.googleapis.com
- content-us-discoveryengine.mtls.googleapis.com
- discoveryengine.clients6.google.com
- discoveryengine.googleapis.com
- discoveryengine.mtls.clients6.google.com
- discoveryengine.mtls.googleapis.com
- eu-discoveryengine.clients6.google.com
- eu-discoveryengine.googleapis.com
- eu-discoveryengine.mtls.clients6.google.com
- eu-discoveryengine.mtls.googleapis.com
- global-discoveryengine.clients6.google.com
- global-discoveryengine.googleapis.com
- global-discoveryengine.mtls.clients6.google.com
- global-discoveryengine.mtls.googleapis.com
- us-discoveryengine.clients6.google.com
- us-discoveryengine.googleapis.com
- us-discoveryengine.mtls.clients6.google.com
- us-discoveryengine.mtls.googleapis.com
- vertexaisearch.cloud.google.com
- vertexaisearch.cloud.google
- notebooklm.cloud.google.com
- notebooklm.cloud.google
- auth.cloud.google
- payments.cloud.google
- accounts.googleapis.com
Si tu entorno requiere límites estrictos de protección contra el robo de datos, configura el dominio discoveryengine.googleapis.com en la dirección IP del paquete de VPC-SC.

Acerca de la protección de tu app con los Controles del servicio de VPC

Para obtener seguridad avanzada, puedes implementar los Controles del servicio de VPC (VPC-SC) para evitar el robo de datos de servicios administrados como Gemini Enterprise y BigQuery. A diferencia de Identity and Access Management, que controla quién puede acceder a los datos, los controles de VPC-SC dictan dónde se puede acceder a los datos y moverlos.

Si consideras este enfoque, ten en cuenta lo siguiente:

Si bien es opcional, usar los Controles del servicio de VPC es una práctica recomendada para bloquear el acceso público a los servicios de Google expuestos a través de googleapis.com.
Entre otras implicaciones, los servicios (como discoveryengine.googleapis.com) que se agregan a un perímetro de VPC-SC se bloquean para todo acceso público, incluido el acceso a través de la Google Cloud consola.
Para permitir el acceso a los servicios protegidos dentro de un perímetro de VPC-SC, los administradores deben permitir explícitamente la entrada mediante el uso de reglas de entrada de VPC-SC o la definición de niveles de acceso con Access Context Manager.

Para obtener más información sobre cómo proteger tu app de Gemini Enterprise con VPC-SC y Access Context Manager, consulta Protege tu app con los Controles del servicio de VPC.