Consenti l'accesso all'endpoint pubblico alle risorse protette dall'esterno di un perimetro dei Controlli di servizio VPC

Questa pagina descrive come consentire il traffico dagli indirizzi IP interni in una rete VPC ai perimetri di servizio utilizzando le regole in entrata e in uscita.

Architettura di riferimento

Nella seguente architettura di riferimento, viene implementato un VPC condiviso con un modello Gemini nel progetto di servizio, ph-fm-svc-project (progetto di servizio del modello di base) con i seguenti attributi delle norme di servizio che consentono l'accesso pubblico noto all'API Gemini Enterprise per l'AI generativa su Vertex AI:

  • Un singolo perimetro dei Controlli di servizio VPC
  • Livello di accesso - Intervallo CIDR dell'endpoint pubblico esterno noto
  • Identità utente definita dal progetto

Diagramma dell'architettura dell'utilizzo dei Controlli di servizio VPC per creare un perimetro di servizio.

Crea il livello di accesso

Gestore contesto accesso consente agli amministratori dell'organizzazione di definire un controllo dell'accesso granulare e basato su attributi per progetti e risorse inGoogle Cloud. Google Cloud Gli amministratori definiscono innanzitutto una policy di accesso, ovvero un contenitore a livello di organizzazione per livelli di accesso e perimetri di servizio.

I livelli di accesso descrivono i requisiti che le richieste devono soddisfare per essere accettate. Alcuni esempi includono:

In questa architettura di riferimento, viene utilizzato un livello di accesso alla subnet IP pubblico per creare la policy di accesso dei Controlli di servizio VPC.

  1. Nel selettore di progetti nella parte superiore della console Google Cloud , fai clic sulla scheda Tutti e poi seleziona la tua organizzazione.

  2. Crea un livello di accesso di base seguendo le istruzioni riportate nella pagina Crea un livello di accesso di base. Specifica le seguenti opzioni:

    1. Nella sezione Crea condizioni in, scegli Modalità di base.
    2. Nel campo Titolo livello di accesso, inserisci corp-public-block.
    3. Nella sezione Condizioni, per l'opzione Se la condizione è soddisfatta, restituisci, scegli TRUE.
    4. In Subnet IP, scegli IP pubblico.
    5. Per l'intervallo di indirizzi IP, specifica l'intervallo CIDR esterno che richiede l'accesso al perimetro dei Controlli di servizio VPC.

Crea il perimetro di servizio dei Controlli di servizio VPC

Quando crei un perimetro di servizio, consenti l'accesso ai servizi protetti dall'esterno del perimetro specificando il livello di accesso (indirizzo IP) quando crei il perimetro di Controlli di servizio VPC oltre ai progetti protetti. Quando utilizzi i Controlli di servizio VPC con il VPC condiviso, la best practice prevede la creazione di un perimetro di grandi dimensioni che includa i progetti host e di servizio. La selezione dei soli progetti di servizio in un perimetro implicherebbe che gli endpoint di rete appartenenti ai progetti di servizio sembrino esterni al perimetro, perché le subnet sono associate al progetto host.

Seleziona il tipo di configurazione per il nuovo perimetro

In questa sezione crei un perimetro di servizio dei Controlli di servizio VPC in modalità dry run. In modalità dry run, il perimetro registra le violazioni come se i perimetri fossero applicati in modo forzato, ma non impedisce l'accesso ai servizi limitati. L'utilizzo della modalità dry run prima di passare alla modalità di applicazione forzata è consigliato come best practice.

  1. Nel menu di navigazione della console Google Cloud , fai clic su Sicurezza, quindi su Controlli di servizio VPC.

    Vai alla pagina Controlli di servizio VPC

  2. Se ti viene chiesto, seleziona l'organizzazione, la cartella o il progetto.

  3. Nella pagina Controlli di servizio VPC, fai clic su Modalità dry run.

  4. Fai clic su Nuovo perimetro.

  5. Nella scheda Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro. In caso contrario, accetta i valori predefiniti.

    Il nome di un perimetro può avere una lunghezza massima di 50 caratteri, deve iniziare con una lettera e può contenere solo lettere latine ASCII (a-z, A-Z), numeri (0-9) o trattini bassi (_). Il nome del perimetro è sensibile alle maiuscole e deve essere univoco all'interno di una policy di accesso.

Seleziona le risorse da proteggere

  1. Fai clic su Risorse da proteggere.

  2. Per aggiungere progetti o reti VPC che vuoi proteggere all'interno del perimetro, segui questi passaggi:

    1. Fai clic su Aggiungi risorse.

    2. Per aggiungere progetti al perimetro, fai clic su Aggiungi progetto nel riquadro Aggiungi risorse.

      1. Per selezionare un progetto, nella finestra di dialogo Aggiungi progetti, seleziona la casella di controllo del progetto. Seleziona le caselle di controllo per i progetti seguenti:

        • aiml-host-project
        • ph-fm-svc-project

      2. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

Seleziona i servizi limitati

In questa architettura di riferimento, l'ambito delle API con restrizioni è limitato, consentendo solo le API necessarie per Gemini. Tuttavia, come best practice, ti consigliamo di limitare tutti i servizi quando crei un perimetro per ridurre il rischio di esfiltrazione di dati dai serviziGoogle Cloud .

Per selezionare i servizi da proteggere all'interno del perimetro:

  1. Fai clic su Servizi limitati.

  2. Nel riquadro Servizi limitati, fai clic su Aggiungi servizi.

  3. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Agent Platform.

  4. Fai clic su Aggiungi l'API Agent Platform.

(Facoltativo) Seleziona i servizi accessibili da VPC

L'impostazione Servizi accessibili da VPC limita l'insieme di servizi accessibili dagli endpoint di rete all'interno del perimetro di servizio. In questa architettura di riferimento, manteniamo l'impostazione predefinita di Tutti i servizi.

  1. Fai clic su Servizi accessibili da VPC.

  2. Nel riquadro Servizi accessibili da VPC, seleziona Tutti i servizi.

Seleziona il livello di accesso

Consenti l'accesso alle risorse protette dall'esterno del perimetro seguendo questi passaggi:

  1. Fai clic su Livelli di accesso.

  2. Fai clic sulla casella Scegli livello di accesso.

    Puoi anche aggiungere livelli di accesso dopo la creazione di un perimetro.

  3. Seleziona la casella di controllo corrispondente al livello di accesso corp-public-block.

Policy in entrata e in uscita

In questa architettura di riferimento, non è necessario specificare alcuna impostazione nei riquadri Policy in entrata o Policy in uscita.

Crea il perimetro

Una volta completati i passaggi di configurazione precedenti, crea il perimetro facendo clic su Crea perimetro.

Convalida il perimetro in modalità dry run

In questa architettura di riferimento, il perimetro di servizio è configurato in modalità dry run, il che ti consente di testare l'effetto della policy di accesso senza applicarla. Ciò significa che puoi vedere l'impatto delle tue norme sul tuo ambiente se fossero attive, ma senza il rischio di interrompere il traffico legittimo.

Dopo aver convalidato il perimetro in modalità dry run, passa alla modalità di applicazione forzata.

Per scoprire come convalidare il perimetro in modalità dry run, consulta la sezione Logging dry run dei Controlli di servizio VPC.