プライベート UI アクセスを構成する

デフォルトでは、ユーザーはエージェント、アシスタント、NotebookLM Enterprise などの機能の Gemini Enterprise インターフェースに公共のインターネット経由でアクセスします。組織のセキュリティ要件を満たすために、Cloud VPN や Cloud Interconnect などのハイブリッド ネットワーキング ソリューションを使用して、プライベート UI アクセスを確立できます。

Gemini Enterprise へのプライベート接続を構成するには、 Google Cloud Private Service Connect(PSC) エンドポイントを介して API トラフィックをルーティングする必要があります。これにより、ユーザーは Virtual Private Cloud(VPC)内の内部 IP アドレスを介して Gemini Enterprise インターフェースにアクセスできるようになり、公共のインターネットを回避できます。

VPC Service Controls を使用して Gemini Enterprise UI へのプライベート アクセスを提供するリファレンス アーキテクチャ。
VPC Service Controls を使用して Gemini Enterprise UI への プライベート アクセスを提供するリファレンス アーキテクチャ。

このリファレンス アーキテクチャでは、オンプレミスまたはマルチクラウドのユーザーが PSC エンドポイントに接続します。これにより、 Virtual Private Cloud 内のユーザー定義の内部 IP アドレスを介して Google API にアクセスできます。Google Cloud また、Gemini Enterprise ドメインを PSC エンドポイントの IP アドレスに解決するように内部 DNS を構成する必要があります。

制限事項

Deep Research と動画生成は、discoveryengine.clients6.google.com ドメインに依存しています。このドメインは Private Service Connect ではサポートされていません。これらの機能を使用するには、ネットワークで discoveryengine.clients6.google.com ドメインのパブリック DNS の解決とインターネット アクセスを許可する必要があります。また、discoveryengine.clients6.google.com とそのリージョン バリアントは、標準チャットなどの Gemini Enterprise UI のコア機能に必要です。このドメインは PSC を介してルーティングできません。

始める前に

プライベート UI アクセスを構成する前に、次のものがあることを確認してください。

Private Service Connect を構成する

プライベート Google アクセスに使用される限定公開の仮想 IP アドレス(VIP)は、Gemini Enterprise UI へのプライベート アクセスをサポートしていません。完全な機能を利用するには、Gemini Enterprise ドメインを all-apis バンドルで構成された Private Service Connect エンドポイントに解決する必要があります。

  1. ハイブリッド ネットワーキングに使用する Cloud Router と同じ Virtual Private Cloud に新しい PSC エンドポイントを作成します。

  2. [すべての Google API] API バンドルをターゲットにします。このバンドルを使用すると、*.googleapis.com サービス エンドポイントを含む、ほとんどの Google API にアクセスできます。[VPC-SC] API バンドルは、すべての Gemini Enterprise ドメインをサポートしていません。

ネットワーク ルーティングを構成する

PSC エンドポイントは、標準の VPC サブネットから発信されず、オンプレミスまたはマルチクラウド ネットワークから見えない /32 IP アドレスを使用します。IP アドレスをアドバタイズするように Cloud Router を構成する必要があります。Private Service Connect エンドポイントの IP アドレス要件の詳細については、IP アドレス要件をご覧ください。

  1. PSC エンドポイントに割り当てた IP アドレスを確認します。

  2. Cloud Router の構成で、IP アドレスのカスタムルートを作成します。Cloud Router でカスタム アドバタイズ ルートを指定する方法の詳細については、 カスタム アドレス範囲をアドバタイズするをご覧ください。

  3. IP アドレスへの上り(外向き)トラフィックを許可するように、オンプレミスまたはマルチクラウド ファイアウォールを更新します。

DNS 設定を更新する

最後に、DNS 設定を更新して、PSC エンドポイントを使用して Gemini Enterprise ドメインを解決します。詳細については、 デフォルトの DNS 名を使用して DNS レコードを作成するをご覧ください。

  1. 次の Gemini Enterprise ドメインを PSC エンドポイントの内部 IP アドレスに解決するように、オンプレミスまたはクラウド ネットワークの内部 DNS レコードを構成します。

    • content-discoveryengine.googleapis.com
    • content-discoveryengine.mtls.googleapis.com
    • content-eu-discoveryengine.googleapis.com
    • content-eu-discoveryengine.mtls.googleapis.com
    • content-global-discoveryengine.googleapis.com
    • content-global-discoveryengine.mtls.googleapis.com
    • content-us-discoveryengine.googleapis.com
    • content-us-discoveryengine.mtls.googleapis.com
    • discoveryengine.googleapis.com
    • discoveryengine.mtls.googleapis.com
    • eu-discoveryengine.googleapis.com
    • eu-discoveryengine.mtls.googleapis.com
    • global-discoveryengine.googleapis.com
    • global-discoveryengine.mtls.googleapis.com
    • us-discoveryengine.googleapis.com
    • us-discoveryengine.mtls.googleapis.com
    • vertexaisearch.cloud.google.com
    • vertexaisearch.cloud.google
    • notebooklm.cloud.google.com
    • notebooklm.cloud.google
    • auth.cloud.google
    • payments.cloud.google
    • accounts.googleapis.com
  2. 環境で厳格なデータ引き出し保護境界が必要な場合は、discoveryengine.googleapis.com ドメインを VPC-SC バンドル IP アドレスに構成します。

重要: Deep Research と動画生成は、discoveryengine.clients6.google.com ドメインに依存しています。このドメインは Private Service Connect ではサポートされておらず、パブリック DNS の解決とインターネット アクセスが必要です。discoveryengine.clients6.google.com ドメインとそのリージョン バリアントは、標準チャットなどの Gemini Enterprise UI のコア機能に必要です。このドメインは PSC を介してルーティングできません。

VPC Service Controls でアプリを保護する

高度なセキュリティを実現するには、VPC Service Controls(VPC-SC)を実装して、Gemini Enterprise や BigQuery などのマネージド サービスからのデータ引き出しを防ぐことができます。データにアクセスできるユーザーを制御する Identity and Access Management とは異なり、 VPC-SC はデータにアクセスして移動できる場所を規定します。

このアプローチを検討する場合は、次の点に注意してください。

VPC-SC と Access Context Manager を使用して Gemini Enterprise アプリを保護する方法の詳細については、 VPC Service Controls でアプリを保護するをご覧ください。