Par défaut, les utilisateurs accèdent aux interfaces Gemini Enterprise pour des fonctionnalités telles que les agents, l'assistant et NotebookLM Enterprise via le réseau Internet public. Pour répondre aux exigences de sécurité de l'organisation, vous pouvez établir un accès privé à l'interface utilisateur à l'aide de solutions de mise en réseau hybride telles que Cloud VPN ou Cloud Interconnect.
Pour configurer une connectivité privée à Gemini Enterprise, vous devez acheminer Google Cloud le trafic API via un point de terminaison Private Service Connect (PSC) . Les utilisateurs peuvent ainsi accéder aux interfaces Gemini Enterprise via une adresse IP interne de votre cloud privé virtuel (VPC), sans passer par le réseau Internet public.
Dans cette architecture de référence, les utilisateurs sur site ou multicloud se connectent à un point de terminaison PSC, ce qui permet d'accéder aux Google APIs via une adresse IP interne définie par l'utilisateur dans votre Google Cloud cloud privé virtuel. De plus, vous devez configurer votre DNS interne pour résoudre les domaines Gemini Enterprise en adresse IP du point de terminaison PSC.
Limites
Deep Research et la génération de vidéos reposent sur le domaine discoveryengine.clients6.google.com. Ce domaine n'est pas compatible avec
Private Service Connect. Pour utiliser ces fonctionnalités, votre réseau doit autoriser la résolution DNS publique et l'accès à Internet pour le domaine discoveryengine.clients6.google.com. De plus, discoveryengine.clients6.google.com et ses variantes régionales sont nécessaires pour les fonctionnalités de base de l'interface utilisateur de Gemini Enterprise, y compris le chat standard, et ce domaine ne peut pas être acheminé via PSC.
Avant de commencer
Avant de configurer l'accès privé à l'interface utilisateur, assurez-vous de disposer des éléments suivants :
Un réseau de cloud privé virtuel connecté à votre réseau sur site via Cloud Router, à l'aide de Cloud VPN ou de Cloud Interconnect. Google Cloud
Les autorisations nécessaires pour créer des points de terminaison Private Service Connect et gérer les routes personnalisées de Cloud Router.
Configurer Private Service Connect
Les adresses IP virtuelles privées et restreintes utilisées pour l'accès privé à Google ne sont pas compatibles avec l'accès privé à l'interface utilisateur de Gemini Enterprise. Pour garantir toutes les fonctionnalités, vous devez résoudre les domaines Gemini Enterprise en point de terminaison Private Service Connect configuré avec le bundle all-apis.
Créez un point de terminaison PSC dans le même cloud privé virtuel que le routeur Cloud Router utilisé pour la mise en réseau hybride.
Ciblez le bundle d'API All Google APIs (Toutes les API Google). Ce bundle permet d'accéder à la plupart des API Google, y compris aux points de terminaison de service
*.googleapis.com. Le bundle d'API VPC-SC n'est pas compatible avec tous les domaines Gemini Enterprise.
Configurer le routage réseau
Le point de terminaison PSC utilise une adresse IP /32 qui ne provient pas d'un sous-réseau VPC standard et n'est pas visible depuis les réseaux sur site ou multicloud. Vous devez configurer votre routeur Cloud Router pour qu'il annonce l'adresse IP. Pour en savoir plus sur les exigences concernant les adresses IP pour les points de terminaison Private Service Connect, consultez la section
Exigences concernant les adresses IP.
Identifiez l'adresse IP que vous avez attribuée à votre point de terminaison PSC.
Dans la configuration de votre routeur Cloud Router, créez une route personnalisée pour l'adresse IP. Pour en savoir plus sur la spécification de routes annoncées personnalisées sur un routeur Cloud Router, consultez la section Annoncer des plages d'adresses personnalisées.
Mettez à jour les pare-feu sur site ou multicloud pour autoriser le trafic sortant vers l'adresse IP.
Modifier les paramètres DNS
Enfin, modifiez vos paramètres DNS pour résoudre les domaines Gemini Enterprise à l'aide du point de terminaison PSC. Pour en savoir plus, consultez la section Créer des enregistrements DNS à l'aide de noms DNS par défaut.
Configurez les enregistrements DNS du réseau sur site ou cloud interne pour résoudre les domaines Gemini Enterprise suivants en adresse IP interne du point de terminaison PSC :
content-discoveryengine.googleapis.comcontent-discoveryengine.mtls.googleapis.comcontent-eu-discoveryengine.googleapis.comcontent-eu-discoveryengine.mtls.googleapis.comcontent-global-discoveryengine.googleapis.comcontent-global-discoveryengine.mtls.googleapis.comcontent-us-discoveryengine.googleapis.comcontent-us-discoveryengine.mtls.googleapis.comdiscoveryengine.googleapis.comdiscoveryengine.mtls.googleapis.comeu-discoveryengine.googleapis.comeu-discoveryengine.mtls.googleapis.comglobal-discoveryengine.googleapis.comglobal-discoveryengine.mtls.googleapis.comus-discoveryengine.googleapis.comus-discoveryengine.mtls.googleapis.comvertexaisearch.cloud.google.comvertexaisearch.cloud.googlenotebooklm.cloud.google.comnotebooklm.cloud.googleauth.cloud.googlepayments.cloud.googleaccounts.googleapis.com
Si votre environnement nécessite des limites de protection strictes contre l'exfiltration de données, configurez le domaine
discoveryengine.googleapis.comsur l'adresse IP du bundle VPC-SC.
Important : Deep Research et la génération de vidéos reposent sur le domaine discoveryengine.clients6.google.com. Ce domaine n'est pas compatible avec Private Service Connect et nécessite une résolution DNS publique et un accès à Internet. Le domaine discoveryengine.clients6.google.com et ses variantes régionales sont nécessaires pour les fonctionnalités de base de l'interface utilisateur de Gemini Enterprise, y compris le chat standard. Ce domaine ne peut pas être acheminé via PSC.
À propos de la sécurisation de votre application avec VPC Service Controls
Pour une sécurité avancée, vous pouvez implémenter VPC Service Controls (VPC-SC) afin d'empêcher l'exfiltration de données à partir de services gérés tels que Gemini Enterprise et BigQuery. Contrairement à Identity and Access Management, qui contrôle qui peut accéder aux données, VPC-SC contrôle où les données peuvent être consultées et déplacées.
Si vous envisagez cette approche, gardez les points suivants à l'esprit :
Bien que facultatif, l'utilisation de VPC Service Controls est une bonne pratique pour bloquer l'accès public aux services Google exposés via
googleapis.com.Entre autres implications, les services (tels que
discoveryengine.googleapis.com) qui sont ajoutés à un périmètre VPC-SC sont bloqués pour tout accès public, y compris l'accès via la Google Cloud console.Pour autoriser l'accès aux services protégés dans un périmètre VPC-SC, les administrateurs doivent autoriser explicitement l'entrée à l'aide de règles d'entrée VPC-SC ou en définissant des niveaux d'accès à l'aide d'Access Context Manager.
Pour en savoir plus sur la sécurisation de votre application Gemini Enterprise à l'aide de VPC-SC et d'Access Context Manager, consultez la section Sécuriser votre application avec VPC Service Controls.