プライベート UI アクセスを構成する

デフォルトでは、ユーザーはエージェント、アシスタント、NotebookLM Enterprise などの機能の Gemini Enterprise インターフェースにパブリック インターネット経由でアクセスします。組織のセキュリティ要件を満たすために、Cloud VPN や Cloud Interconnect などのハイブリッド ネットワーキング ソリューションを使用して、プライベート UI アクセスを確立できます。

Gemini Enterprise へのプライベート接続を構成するには、 Google Cloud Private Service Connect(PSC) エンドポイントを介して API トラフィックをルーティングする必要があります。これにより、ユーザーはパブリック インターネットを使用せずに、Virtual Private Cloud(VPC)内の内部 IP アドレスを使用して Gemini Enterprise インターフェースにアクセスできます。

VPC Service Controls を使用して Gemini Enterprise UI へのプライベート アクセスを提供するリファレンス アーキテクチャ。
VPC Service Controls を使用して Gemini Enterprise UI への プライベート アクセスを提供するリファレンス アーキテクチャ。

このリファレンス アーキテクチャでは、オンプレミスまたはマルチクラウドのユーザーが PSC エンドポイントに接続します。これにより、 Virtual Private Cloud 内のユーザー定義の内部 IP アドレスを介して Google API に Google Cloud アクセスできます。また、Gemini Enterprise ドメインを PSC エンドポイントの IP アドレスに解決するように内部 DNS を構成する必要があります。

制限事項

Deep Research と動画生成は、discoveryengine.clients6.google.com ドメインに依存しています。このドメインは Private Service Connect ではサポートされていません。これらの機能を使用するには、ネットワークで discoveryengine.clients6.google.com ドメインのパブリック DNS の解決とインターネット アクセスを許可する必要があります。

始める前に

プライベート UI アクセスを構成する前に、次のものがあることを確認してください。

Private Service Connect を構成する

プライベート Google アクセスに使用されるプライベート仮想 IP アドレス(VIP)と制限付き仮想 IP アドレス(VIP)は、Gemini Enterprise UI へのプライベート アクセスをサポートしていません。完全な機能を利用するには、Gemini Enterprise ドメインを all-apis バンドルで構成された Private Service Connect エンドポイントに解決する必要があります。

  1. ハイブリッド ネットワーキングに使用する Cloud Router と同じ Virtual Private Cloud に新しい PSC エンドポイントを作成します。

  2. [すべての Google API] API バンドルをターゲットにします。このバンドルを使用すると、*.googleapis.com サービス エンドポイントなど、ほとんどの Google API にアクセスできます。[VPC-SC] API バンドルは、すべての Gemini Enterprise ドメインをサポートしていません。

ネットワーク ルーティングを構成する

PSC エンドポイントは、標準の VPC サブネットから発信されず、オンプレミスまたはマルチクラウド ネットワークから見えない /32 IP アドレスを使用します。IP アドレスをアドバタイズするように Cloud Router を構成する必要があります。Private Service Connect エンドポイントの IP アドレス要件の詳細については、IP アドレス要件をご覧ください。

  1. PSC エンドポイントに割り当てた IP アドレスを確認します。

  2. Cloud Router の構成で、IP アドレスのカスタム ルートを作成します。Cloud Router でカスタム アドバタイズ ルートを指定する方法の詳細については、 カスタム アドレス範囲をアドバタイズするをご覧ください。

  3. IP アドレスへのアウトバウンド トラフィックを許可するように、オンプレミスまたはマルチクラウド ファイアウォールを更新します。

DNS 設定を更新する

最後に、DNS 設定を更新して、PSC エンドポイントを使用して Gemini Enterprise ドメインを解決します。詳細については、 デフォルトの DNS 名を使用して DNS レコードを作成するをご覧ください。

  1. 次の Gemini Enterprise ドメインを PSC エンドポイントの内部 IP アドレスに解決するように、オンプレミスまたはクラウド ネットワークの内部 DNS レコードを構成します。

    • content-discoveryengine.googleapis.com
    • content-discoveryengine.mtls.googleapis.com
    • content-eu-discoveryengine.googleapis.com
    • content-eu-discoveryengine.mtls.googleapis.com
    • content-global-discoveryengine.googleapis.com
    • content-global-discoveryengine.mtls.googleapis.com
    • content-us-discoveryengine.googleapis.com
    • content-us-discoveryengine.mtls.googleapis.com
    • discoveryengine.clients6.google.com
    • discoveryengine.googleapis.com
    • discoveryengine.mtls.clients6.google.com
    • discoveryengine.mtls.googleapis.com
    • eu-discoveryengine.clients6.google.com
    • eu-discoveryengine.googleapis.com
    • eu-discoveryengine.mtls.clients6.google.com
    • eu-discoveryengine.mtls.googleapis.com
    • global-discoveryengine.clients6.google.com
    • global-discoveryengine.googleapis.com
    • global-discoveryengine.mtls.clients6.google.com
    • global-discoveryengine.mtls.googleapis.com
    • us-discoveryengine.clients6.google.com
    • us-discoveryengine.googleapis.com
    • us-discoveryengine.mtls.clients6.google.com
    • us-discoveryengine.mtls.googleapis.com
    • vertexaisearch.cloud.google.com
    • vertexaisearch.cloud.google
    • notebooklm.cloud.google.com
    • notebooklm.cloud.google
    • auth.cloud.google
    • payments.cloud.google
    • accounts.googleapis.com

  2. 環境で厳格なデータの引き出し保護境界が必要な場合は、discoveryengine.googleapis.com ドメインを VPC-SC バンドルの IP アドレスに構成します。

VPC Service Controls でアプリを保護する

高度なセキュリティを実現するには、VPC Service Controls(VPC-SC)を実装して、Gemini Enterprise や BigQuery などのマネージド サービスからのデータ引き出しを防ぐことができます。データのアクセス権を持つユーザーを制御する Identity and Access Management とは異なり、VPC-SC コントロールは、データにアクセスして移動できる場所を規定します。

この方法を検討する際は、以下の点に注意してください。

VPC-SC と Access Context Manager を使用して Gemini Enterprise アプリを保護する方法の詳細については、 VPC Service Controls でアプリを保護するをご覧ください。