Öffentlichen Endpunktzugriff auf geschützte Ressourcen von außerhalb eines VPC Service Controls-Perimeters zulassen

Auf dieser Seite wird beschrieben, wie Sie Traffic von internen IP-Adressen in einem VPC-Netzwerk zu Dienstperimetern mithilfe von Regeln für ein- und ausgehenden Traffic zulassen.

Referenzarchitektur

In der folgenden Referenzarchitektur wird eine freigegebene VPC mit einem Gemini-Modell im Dienstprojekt ph-fm-svc-project (Dienstprojekt für Foundation Model) bereitgestellt. Die folgenden Dienstrichtlinienattribute ermöglichen den bekannten öffentlichen Zugriff auf die Gemini Enterprise API für generative KI auf der Gemini Enterprise Agent Platform:

  • Ein einzelner VPC Service Controls-Perimeter
  • Zugriffsebene – bekannter externer öffentlicher Endpunkt-CIDR-Bereich
  • Vom Projekt definierte Nutzeridentität

Architekturdiagramm zur Verwendung von VPC Service Controls zum Erstellen eines Dienstperimeters.

Zugriffsebene erstellen

Mit Access Context Manager können Google Cloud Organisationsadministratoren eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Clouddefinieren. Administratoren definieren zuerst eine Zugriffsrichtlinie, bei der es sich um einen organisationsweiten Container für Zugriffsebenen und Dienstperimeter handelt.

Zugriffsebenen beschreiben die Anforderungen, die Anfragen erfüllen müssen. Beispiele:

In dieser Referenzarchitektur wird eine Zugriffsebene für öffentliche IP-Subnetze verwendet, um die VPC Service Controls-Zugriffsrichtlinie zu erstellen.

  1. Klicken Sie in der Projektauswahl oben in der Google Cloud Console auf den Tab Alle und wählen Sie dann Ihre Organisation aus.

  2. Erstellen Sie eine einfache Zugriffsebene gemäß der Anleitung auf der Seite Einfache Zugriffsebene erstellen. Geben Sie die folgenden Optionen an:

    1. Wählen Sie unter Bedingungen erstellen in die Option Standardmodus aus.
    2. Geben Sie im Feld Titel der Zugriffsebene corp-public-block ein.
    3. Wählen Sie im Abschnitt Bedingungen für die Option Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.
    4. Wählen Sie unter IP-Subnetzwerke die Option Öffentliche IP aus.
    5. Geben Sie für den IP-Adressbereich Ihren externen CIDR-Bereich an, der Zugriff auf den VPC Service Controls-Perimeter benötigt.

VPC Service Controls-Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, lassen Sie den Zugriff auf geschützte Dienste von außerhalb des Perimeters zu, indem Sie beim Erstellen des VPC Service Controls-Perimeters zusätzlich zu den geschützten Projekten eine Zugriffsebene (IP-Adresse) angeben. Wenn Sie VPC Service Controls mit einer freigegebene VPC verwenden, empfiehlt es sich, einen großen Perimeter zu erstellen, der die Host- und Dienstprojekte umfasst. Wenn Sie nur Dienstprojekte in einem Perimeter auswählen, scheinen Netzwerkendpunkte, die zu Dienstprojekten gehören, außerhalb des Perimeters zu liegen, da die Subnetze mit dem Hostprojekt verknüpft sind.

Konfigurationstyp für den neuen Perimeter auswählen

In diesem Abschnitt erstellen Sie einen VPC Service Controls-Dienstperimeter im Probelaufmodus. Im Probelaufmodus werden Verstöße gegen den Perimeter so protokolliert, als ob die Perimeter erzwungen würden, der Zugriff auf eingeschränkte Dienste aber nicht verhindert wird. Es empfiehlt sich, den Probelaufmodus zu verwenden, bevor Sie zum erzwungenen Modus wechseln.

  1. Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

    Zur Seite „VPC Service Controls“

  2. Wählen Sie Ihre Organisation, Ihren Ordner oder Ihr Projekt aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf der Seite VPC Service Controls auf Probelaufmodus.

  4. Klicken Sie auf Neuer Perimeter.

  5. Geben Sie auf dem Tab Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein. Akzeptieren Sie andernfalls die Standardwerte.

    Ein Perimetername darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur lateinische ASCII-Buchstaben (a–z, A–Z), Zahlen (0–9) oder Unterstriche (_) enthalten. Beim Perimeternamen wird zwischen Groß- und Kleinschreibung unterschieden und er muss innerhalb einer Zugriffsrichtlinie eindeutig sein.

Zu schützende Ressourcen auswählen

  1. Klicken Sie auf Zu schützende Ressourcen.

  2. So fügen Sie Projekte oder VPC-Netzwerke hinzu, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf Ressourcen hinzufügen.

    2. Wenn Sie dem Perimeter Projekte hinzufügen möchten, klicken Sie im Bereich Ressourcen hinzufügen auf Projekt hinzufügen.

      1. Wenn Sie ein Projekt auswählen möchten, klicken Sie im Dialogfeld Projekte hinzufügen auf das Kästchen für das gewünschte Projekt. Wählen Sie die Kästchen für die folgenden Projekte aus:

        • aiml-host-project
        • ph-fm-svc-project

      2. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

Eingeschränkte Dienste auswählen

In dieser Referenzarchitektur ist der Umfang der eingeschränkten APIs begrenzt, sodass nur die für Gemini erforderlichen APIs aktiviert sind. Es empfiehlt sich jedoch, beim Erstellen eines Perimeters alle Dienste einzuschränken, um das Risiko der Daten-Exfiltration aus Google Cloud Diensten zu verringern.

So wählen Sie die Dienste aus, die Sie im Perimeter sichern möchten:

  1. Klicken Sie auf Eingeschränkte Dienste.

  2. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.

  3. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Option Agent Platform API aus.

  4. Klicken Sie auf Agent Platform API hinzufügen.

Optional: Über VPC zugängliche Dienste auswählen

Die Einstellung „Über VPC zugängliche Dienste“ beschränkt die Menge der Dienste, auf die über Netzwerkendpunkte innerhalb Ihres Dienst perimeters zugegriffen werden kann. In dieser Referenzarchitektur behalten wir die Standardeinstellung Alle Dienste bei.

  1. Klicken Sie auf Über VPC zugängliche Dienste.

  2. Wählen Sie im Bereich Über VPC zugängliche Dienste die Option Alle Dienste aus.

Zugriffsebene auswählen

So lassen Sie den Zugriff auf geschützte Ressourcen von außerhalb des Perimeters zu:

  1. Klicken Sie auf Zugriffsebenen.

  2. Klicken Sie auf das Kästchen Zugriffsebene auswählen.

    Sie können zugängliche Dienste auch hinzufügen nachdem ein Perimeter erstellt wurde.

  3. Klicken Sie das Kästchen für die Zugriffsebene corp-public-block an.

Richtlinien für ein- und ausgehenden Traffic

In dieser Referenzarchitektur müssen Sie keine Einstellungen in den Bereichen Richtlinie für eingehenden Traffic oder Richtlinie für ausgehenden Traffic angeben.

Perimeter erstellen

Nachdem Sie die vorherigen Konfigurationsschritte ausgeführt haben, erstellen Sie den Perimeter, indem Sie auf Perimeter erstellen klicken.

Perimeter im Probelaufmodus validieren

In dieser Referenzarchitektur ist der Dienstperimeter im Probelaufmodus konfiguriert. So können Sie die Auswirkungen der Zugriffsrichtlinie ohne Erzwingung testen. Das bedeutet, dass Sie sehen können, wie sich Ihre Richtlinien auf Ihre Umgebung auswirken würden, wenn sie aktiv wären, ohne den legitimen Traffic zu unterbrechen.

Nachdem Sie den Perimeter im Probelaufmodus validiert haben, wechseln Sie in den erzwungenen Modus.

Informationen zum Validieren des Perimeters im Probelaufmodus finden Sie unter VPC Service Controls-Probelaufprotokollierung.