Configurer l'accès privé à l'UI

Par défaut, les utilisateurs accèdent aux interfaces Gemini Enterprise pour des fonctionnalités telles que les agents, l'assistant et NotebookLM Enterprise via le réseau Internet public. Pour répondre aux exigences de sécurité de l'organisation, vous pouvez établir un accès privé à l'interface utilisateur à l'aide de solutions de mise en réseau hybride telles que Cloud VPN ou Cloud Interconnect.

Pour configurer une connectivité privée à Gemini Enterprise, vous devez acheminer Google Cloud le trafic API via un point de terminaison Private Service Connect (PSC) . Les utilisateurs peuvent ainsi accéder aux interfaces Gemini Enterprise via une adresse IP interne de votre cloud privé virtuel (VPC), sans passer par le réseau Internet public.

Architecture de référence utilisant VPC Service Controls pour fournir un accès privé aux interfaces utilisateur Gemini Enterprise.
Architecture de référence utilisant VPC Service Controls pour fournir un accès privé aux interfaces utilisateur de Gemini Enterprise.

Dans cette architecture de référence, les utilisateurs sur site ou multicloud se connectent à un point de terminaison PSC, ce qui permet d'accéder aux Google APIs via une adresse IP interne définie par l'utilisateur dans votre Google Cloud cloud privé virtuel. De plus, vous devez configurer votre DNS interne pour résoudre les domaines Gemini Enterprise en adresse IP du point de terminaison PSC.

Limites

Deep Research et la génération de vidéos reposent sur le domaine discoveryengine.clients6.google.com. Ce domaine n'est pas compatible avec Private Service Connect. Pour utiliser ces fonctionnalités, votre réseau doit autoriser la résolution DNS publique et l'accès à Internet pour le domaine discoveryengine.clients6.google.com. De plus, discoveryengine.clients6.google.com et ses variantes régionales sont nécessaires pour les fonctionnalités de base de l'interface utilisateur de Gemini Enterprise, y compris le chat standard, et ce domaine ne peut pas être acheminé via PSC.

Avant de commencer

Avant de configurer l'accès privé à l'interface utilisateur, assurez-vous de disposer des éléments suivants :

Configurer Private Service Connect

Les adresses IP virtuelles privées et restreintes utilisées pour l'accès privé à Google ne sont pas compatibles avec l'accès privé à l'interface utilisateur de Gemini Enterprise. Pour garantir toutes les fonctionnalités, vous devez résoudre les domaines Gemini Enterprise en point de terminaison Private Service Connect configuré avec le bundle all-apis.

  1. Créez un point de terminaison PSC dans le même cloud privé virtuel que le routeur Cloud Router utilisé pour la mise en réseau hybride.

  2. Ciblez le bundle d'API All Google APIs (Toutes les API Google). Ce bundle permet d'accéder à la plupart des API Google, y compris aux points de terminaison de service *.googleapis.com. Le bundle d'API VPC-SC n'est pas compatible avec tous les domaines Gemini Enterprise.

Configurer le routage réseau

Le point de terminaison PSC utilise une adresse IP /32 qui ne provient pas d'un sous-réseau VPC standard et n'est pas visible depuis les réseaux sur site ou multicloud. Vous devez configurer votre routeur Cloud Router pour qu'il annonce l'adresse IP. Pour en savoir plus sur les exigences concernant les adresses IP pour les points de terminaison Private Service Connect, consultez la section Exigences concernant les adresses IP.

  1. Identifiez l'adresse IP que vous avez attribuée à votre point de terminaison PSC.

  2. Dans la configuration de votre routeur Cloud Router, créez une route personnalisée pour l'adresse IP. Pour en savoir plus sur la spécification de routes annoncées personnalisées sur un routeur Cloud Router, consultez la section Annoncer des plages d'adresses personnalisées.

  3. Mettez à jour les pare-feu sur site ou multicloud pour autoriser le trafic sortant vers l'adresse IP.

Modifier les paramètres DNS

Enfin, modifiez vos paramètres DNS pour résoudre les domaines Gemini Enterprise à l'aide du point de terminaison PSC. Pour en savoir plus, consultez la section Créer des enregistrements DNS à l'aide de noms DNS par défaut.

  1. Configurez les enregistrements DNS du réseau sur site ou cloud interne pour résoudre les domaines Gemini Enterprise suivants en adresse IP interne du point de terminaison PSC :

    • content-discoveryengine.googleapis.com
    • content-discoveryengine.mtls.googleapis.com
    • content-eu-discoveryengine.googleapis.com
    • content-eu-discoveryengine.mtls.googleapis.com
    • content-global-discoveryengine.googleapis.com
    • content-global-discoveryengine.mtls.googleapis.com
    • content-us-discoveryengine.googleapis.com
    • content-us-discoveryengine.mtls.googleapis.com
    • discoveryengine.googleapis.com
    • discoveryengine.mtls.googleapis.com
    • eu-discoveryengine.googleapis.com
    • eu-discoveryengine.mtls.googleapis.com
    • global-discoveryengine.googleapis.com
    • global-discoveryengine.mtls.googleapis.com
    • us-discoveryengine.googleapis.com
    • us-discoveryengine.mtls.googleapis.com
    • vertexaisearch.cloud.google.com
    • vertexaisearch.cloud.google
    • notebooklm.cloud.google.com
    • notebooklm.cloud.google
    • auth.cloud.google
    • payments.cloud.google
    • accounts.googleapis.com
  2. Si votre environnement nécessite des limites de protection strictes contre l'exfiltration de données, configurez le domaine discoveryengine.googleapis.com sur l'adresse IP du bundle VPC-SC.

Important : Deep Research et la génération de vidéos reposent sur le domaine discoveryengine.clients6.google.com. Ce domaine n'est pas compatible avec Private Service Connect et nécessite une résolution DNS publique et un accès à Internet. Le domaine discoveryengine.clients6.google.com et ses variantes régionales sont nécessaires pour les fonctionnalités de base de l'interface utilisateur de Gemini Enterprise, y compris le chat standard. Ce domaine ne peut pas être acheminé via PSC.

À propos de la sécurisation de votre application avec VPC Service Controls

Pour une sécurité avancée, vous pouvez implémenter VPC Service Controls (VPC-SC) afin d'empêcher l'exfiltration de données à partir de services gérés tels que Gemini Enterprise et BigQuery. Contrairement à Identity and Access Management, qui contrôle qui peut accéder aux données, VPC-SC contrôle les données peuvent être consultées et déplacées.

Si vous envisagez cette approche, gardez les points suivants à l'esprit :

  • Bien que facultatif, l'utilisation de VPC Service Controls est une bonne pratique pour bloquer l'accès public aux services Google exposés via googleapis.com.

  • Entre autres implications, les services (tels que discoveryengine.googleapis.com) qui sont ajoutés à un périmètre VPC-SC sont bloqués pour tout accès public, y compris l'accès via la Google Cloud console.

  • Pour autoriser l'accès aux services protégés dans un périmètre VPC-SC, les administrateurs doivent autoriser explicitement l'entrée à l'aide de règles d'entrée VPC-SC ou en définissant des niveaux d'accès à l'aide d'Access Context Manager.

Pour en savoir plus sur la sécurisation de votre application Gemini Enterprise à l'aide de VPC-SC et d'Access Context Manager, consultez la section Sécuriser votre application avec VPC Service Controls.