기본적으로 사용자는 공개 인터넷을 통해 에이전트, 어시스턴트, NotebookLM Enterprise와 같은 기능의 Gemini Enterprise 인터페이스에 액세스합니다. 조직 보안 요구사항을 충족하기 위해 Cloud VPN 또는 Cloud Interconnect와 같은 하이브리드 네트워킹 솔루션을 사용하여 비공개 UI 액세스를 설정할 수 있습니다.
Gemini Enterprise에 대한 비공개 연결을 구성하려면 Private Service Connect (PSC) 엔드포인트를 통해 Google Cloud API 트래픽을 라우팅해야 합니다. 이렇게 하면 사용자가 공개 인터넷을 사용하지 않고 Virtual Private Cloud (VPC) 내의 내부 IP 주소를 통해 Gemini Enterprise 인터페이스에 액세스할 수 있습니다.
이 참조 아키텍처에서 온프레미스 또는 멀티 클라우드 사용자는 Virtual Private Cloud 내에서 사용자 정의 내부 IP 주소를 통해 Google API에 액세스할 수 있도록 하는 PSC 엔드포인트에 연결합니다.Google Cloud 또한 Gemini Enterprise 도메인을 PSC 엔드포인트의 IP 주소로 변환하도록 내부 DNS를 구성해야 합니다.
제한사항
Deep Research 및 동영상 생성은 discoveryengine.clients6.google.com 도메인을 사용합니다. 이 도메인은 Private Service Connect에서 지원되지 않습니다. 이러한 기능을 사용하려면 네트워크에서 discoveryengine.clients6.google.com 도메인에 대한 공개 DNS 변환 및 인터넷 액세스를 허용해야 합니다.
시작하기 전에
비공개 UI 액세스를 구성하기 전에 다음이 있는지 확인하세요.
Cloud VPN 또는 Cloud Interconnect를 사용하여 Cloud Router를 통해 온프레미스 네트워크에 연결된 Virtual Private Cloud 네트워크 Google Cloud
Private Service Connect 엔드포인트를 만들고 Cloud Router 커스텀 경로를 관리할 수 있는 권한
Private Service Connect 구성
비공개 Google 액세스에 사용되는 비공개 및 제한된 가상 IP 주소 (VIP)는 Gemini Enterprise UI에 대한 비공개 액세스를 지원하지 않습니다. 전체 기능을 사용하려면 Gemini Enterprise 도메인을 all-apis 번들로 구성된 Private Service Connect 엔드포인트로 변환해야 합니다.
하이브리드 네트워킹에 사용되는 Cloud Router와 동일한 Virtual Private Cloud에 새 PSC 엔드포인트를 만듭니다.
모든 Google API API 번들을 타겟팅합니다. 이 번들은
*.googleapis.com서비스 엔드포인트를 비롯한 대부분의 Google API에 대한 액세스를 제공합니다. VPC-SC API 번들은 모든 Gemini Enterprise 도메인을 지원하지 않습니다.
네트워크 라우팅 구성
PSC 엔드포인트는 표준 VPC 서브넷에서 발생하지 않으며 온프레미스 또는 멀티 클라우드 네트워크에서 표시되지 않는 /32 IP 주소를 사용합니다. IP 주소를 공지하도록 Cloud Router를 구성해야 합니다. Private Service Connect
엔드포인트의 IP 주소 요구사항에 대한 자세한 내용은
IP 주소 요구사항을 참조하세요.
PSC 엔드포인트에 할당한 IP 주소를 식별합니다.
Cloud Router 구성에서 IP 주소의 커스텀 경로를 만듭니다. Cloud Router에서 커스텀 공지 경로를 지정하는 방법에 대한 자세한 내용은 커스텀 주소 범위 공지를 참조하세요.
IP 주소로의 아웃바운드 트래픽을 허용하도록 온프레미스 또는 멀티 클라우드 방화벽을 업데이트합니다.
DNS 설정 업데이트
마지막으로 DNS 설정을 업데이트하여 PSC 엔드포인트를 사용하여 Gemini Enterprise 도메인을 변환합니다. 자세한 내용은 기본 DNS 이름을 사용하여 DNS 레코드 만들기를 참조하세요.
다음 Gemini Enterprise 도메인을 PSC 엔드포인트의 내부 IP 주소로 변환하도록 내부 온프레미스 또는 클라우드 네트워크 DNS 레코드를 구성합니다.
content-discoveryengine.googleapis.comcontent-discoveryengine.mtls.googleapis.comcontent-eu-discoveryengine.googleapis.comcontent-eu-discoveryengine.mtls.googleapis.comcontent-global-discoveryengine.googleapis.comcontent-global-discoveryengine.mtls.googleapis.comcontent-us-discoveryengine.googleapis.comcontent-us-discoveryengine.mtls.googleapis.comdiscoveryengine.clients6.google.comdiscoveryengine.googleapis.comdiscoveryengine.mtls.clients6.google.comdiscoveryengine.mtls.googleapis.comeu-discoveryengine.clients6.google.comeu-discoveryengine.googleapis.comeu-discoveryengine.mtls.clients6.google.comeu-discoveryengine.mtls.googleapis.comglobal-discoveryengine.clients6.google.comglobal-discoveryengine.googleapis.comglobal-discoveryengine.mtls.clients6.google.comglobal-discoveryengine.mtls.googleapis.comus-discoveryengine.clients6.google.comus-discoveryengine.googleapis.comus-discoveryengine.mtls.clients6.google.comus-discoveryengine.mtls.googleapis.comvertexaisearch.cloud.google.comvertexaisearch.cloud.googlenotebooklm.cloud.google.comnotebooklm.cloud.googleauth.cloud.googlepayments.cloud.googleaccounts.googleapis.com
환경에 엄격한 데이터 무단 반출 보호 경계가 필요한 경우
discoveryengine.googleapis.com도메인을 VPC-SC 번들 IP 주소로 구성합니다.
VPC 서비스 제어로 앱 보호 정보
고급 보안을 위해 VPC 서비스 제어 (VPC-SC)를 구현하여 Gemini Enterprise 및 BigQuery와 같은 관리형 서비스에서 데이터 무단 반출을 방지할 수 있습니다. 데이터에 액세스할 수 있는 사용자 를 제어하는 ID 및 액세스 관리와 달리 VPC-SC 제어는 데이터에 액세스하고 이동할 수 있는 위치 를 지정합니다.
이 접근 방식을 고려하는 경우 다음 사항에 유의하세요.
선택사항이지만 VPC 서비스 제어를 사용하는 것이
googleapis.com을 통해 노출된 Google 서비스에 대한 공개 액세스를 차단하는 권장사항입니다.다른 영향 중에서 VPC-SC 경계에 추가된 서비스 (
discoveryengine.googleapis.com등) 는 콘솔을 통한 액세스를 비롯한 모든 공개 액세스가 차단됩니다. Google CloudVPC-SC 경계 내에서 보호된 서비스에 대한 액세스를 허용하려면 관리자가 VPC-SC 인그레스 규칙을 사용하거나 액세스 컨텍스트 관리자를 사용하여 액세스 수준을 정의하여 인그레스를 명시적으로 허용해야 합니다.
VPC-SC 및 액세스 컨텍스트 관리자를 사용하여 Gemini Enterprise 앱을 보호하는 방법에 대한 자세한 내용은 VPC 서비스 제어로 앱 보호를 참조하세요.