Catatan: Dokumentasi ini berlaku untuk edisi Standard, Plus, dan Frontline Gemini Enterprise. Untuk mengetahui informasi tentang edisi Business, lihat Pusat Bantuan Gemini Enterprise - edisi Business.

Mengonfigurasi akses UI pribadi

Secara default, pengguna mengakses antarmuka Gemini Enterprise untuk fitur seperti agen, asisten, dan NotebookLM Enterprise, melalui internet publik. Untuk memenuhi persyaratan keamanan organisasi, Anda dapat membuat akses UI pribadi menggunakan solusi jaringan hybrid seperti Cloud VPN atau Cloud Interconnect.

Untuk mengonfigurasi konektivitas pribadi ke Gemini Enterprise, Anda harus merutekan traffic APIGoogle Cloud melalui endpoint Private Service Connect (PSC). Hal ini memungkinkan pengguna mengakses antarmuka Gemini Enterprise melalui alamat IP internal dalam Virtual Private Cloud (VPC) Anda, sehingga tidak perlu menggunakan internet publik.

Arsitektur
referensi menggunakan Kontrol Layanan VPC untuk memberikan akses pribadi ke
UI Gemini Enterprise. — Arsitektur referensi yang menggunakan Kontrol Layanan VPC untuk menyediakan akses pribadi ke UI Gemini Enterprise.

Dalam arsitektur referensi ini, pengguna lokal atau multi-cloud terhubung ke endpoint PSC, yang memungkinkan akses ke Google API melalui alamat IP internal yang ditentukan pengguna dalam Google Cloud Virtual Private Cloud. Selain itu, Anda harus mengonfigurasi DNS internal untuk menyelesaikan domain Gemini Enterprise ke alamat IP endpoint PSC.

Batasan

Deep Research dan pembuatan video mengandalkan domain discoveryengine.clients6.google.com. Domain ini tidak didukung oleh Private Service Connect. Untuk menggunakan fitur ini, jaringan Anda harus mengizinkan resolusi DNS publik dan akses internet untuk domain discoveryengine.clients6.google.com.

Sebelum memulai

Sebelum mengonfigurasi akses UI pribadi, pastikan Anda memiliki hal berikut:

Jaringan Virtual Private Cloud yang terhubung ke jaringan lokal Anda melalui Cloud Router, menggunakan Cloud VPN atau Cloud Interconnect. Google Cloud
Izin untuk membuat endpoint Private Service Connect dan mengelola rute kustom Cloud Router.

Mengonfigurasi Private Service Connect

Alamat IP virtual (VIP) pribadi dan terbatas yang digunakan untuk Akses Google Pribadi tidak mendukung akses pribadi ke UI Gemini Enterprise. Untuk memastikan fungsi penuh, Anda harus menyelesaikan domain Gemini Enterprise ke endpoint Private Service Connect yang dikonfigurasi dengan paket all-apis.

Buat endpoint PSC baru di Virtual Private Cloud yang sama dengan Cloud Router yang digunakan untuk jaringan hybrid.
Menargetkan paket API Semua Google API. Paket ini menyediakan akses ke sebagian besar Google API, termasuk endpoint layanan *.googleapis.com. Paket API VPC-SC tidak mendukung semua domain Gemini Enterprise.

Mengonfigurasi pemilihan rute jaringan

Endpoint PSC menggunakan alamat IP /32 yang tidak berasal dari subnet VPC standar dan tidak akan terlihat dari jaringan lokal atau multi-cloud. Anda harus mengonfigurasi Cloud Router untuk memberitahukan alamat IP. Untuk mengetahui informasi selengkapnya tentang persyaratan alamat IP untuk endpoint Private Service Connect, lihat Persyaratan alamat IP.

Identifikasi alamat IP yang Anda tetapkan ke endpoint PSC.
Dalam konfigurasi Cloud Router, buat rute kustom untuk alamat IP. Untuk mengetahui informasi selengkapnya tentang cara menentukan rute kustom yang diberitahukan di Cloud Router, lihat Memberitahukan rentang alamat kustom.
Perbarui firewall lokal atau multi-cloud untuk mengizinkan traffic keluar ke alamat IP.

Memperbarui setelan DNS

Terakhir, perbarui setelan DNS Anda untuk menyelesaikan domain Gemini Enterprise menggunakan endpoint PSC. Untuk mengetahui informasi selengkapnya, lihat Membuat data DNS menggunakan nama DNS default.

Konfigurasi data DNS jaringan lokal atau cloud internal untuk me-resolve domain Gemini Enterprise berikut ke alamat IP internal endpoint PSC:
- vertexaisearch.cloud.google.com
- notebooklm.cloud.google.com
- discoveryengine.googleapis.com
- discoveryengine.mtls.googleapis.com
- discoveryengine.mtls.clients6.google.com
- accounts.googleapis.com
Jika lingkungan Anda memerlukan batas perlindungan pemindahan data yang ketat, konfigurasikan domain discoveryengine.googleapis.com ke alamat IP paket VPC-SC.

Tentang mengamankan aplikasi Anda dengan Kontrol Layanan VPC

Untuk keamanan tingkat lanjut, Anda dapat menerapkan Kontrol Layanan VPC (VPC-SC) untuk mencegah pemindahan data yang tidak sah dari layanan terkelola seperti Gemini Enterprise dan BigQuery. Tidak seperti Identity and Access Management, yang mengontrol siapa yang dapat mengakses data, kontrol VPC-SC menentukan tempat data dapat diakses dan dipindahkan.

Jika mempertimbangkan pendekatan ini, perhatikan hal berikut:

Meskipun opsional, penggunaan Kontrol Layanan VPC adalah praktik terbaik untuk memblokir akses publik ke layanan Google yang diekspos melalui googleapis.com.
Di antara implikasi lainnya, layanan (seperti discoveryengine.googleapis.com) yang ditambahkan ke perimeter VPC-SC diblokir untuk semua akses publik, termasuk akses melalui konsol Google Cloud .
Untuk mengizinkan akses ke layanan yang dilindungi dalam perimeter VPC-SC, admin harus mengizinkan ingress secara eksplisit, dengan menggunakan aturan ingress VPC-SC atau menentukan tingkat akses menggunakan Access Context Manager.

Untuk mengetahui informasi selengkapnya tentang mengamankan aplikasi Gemini Enterprise Anda menggunakan VPC-SC dan Access Context Manager, lihat Mengamankan aplikasi Anda dengan Kontrol Layanan VPC.