VPC Service Controls für Gemini konfigurieren

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls für Gemini for Google Cloudkonfigurieren, einen KI-basierten Assistenten in Google Cloud. So führen Sie diese Konfiguration aus:

  1. Aktualisieren Sie den Dienstperimeter Ihrer Organisation so, dass er Gemini einschließt. In diesem Dokument wird davon ausgegangen, dass Sie bereits einen Dienstperimeter auf Organisationsebene haben. Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

  2. Konfigurieren Sie in Projekten, für die Sie den Zugriff auf Gemini aktiviert haben, VPC-Netzwerke so, dass ausgehender Traffic mit Ausnahme des Traffics zum eingeschränkten VIP-Bereich blockiert wird.

Vorbereitung

  1. Prüfen Sie, ob Gemini Code Assist für Ihr Nutzerkonto und Projekt in Google Cloudeingerichtet ist.

  2. Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management), um VPC Service Controls einzurichten und zu verwalten.

  3. Prüfen Sie, ob Sie einen Dienstperimeter auf Organisationsebene haben, den Sie zum Einrichten von Gemini verwenden können. Wenn Sie auf dieser Ebene keinen Dienstperimeter haben, können Sie einen erstellen.

Gemini Ihrem Dienstperimeter hinzufügen

Wenn Sie VPC Service Controls mit Gemini verwenden möchten, fügen Sie Gemini auf Organisationsebene dem Dienstperimeter hinzu. Der Dienstperimeter muss alle Dienste umfassen, die Sie mit Gemini und anderen Diensten von Google Cloud verwenden, die Sie schützen möchten.

So fügen Sie Gemini Ihrem Dienstperimeter hinzu:

  1. Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

    Zu VPC Service Controls

  2. Wählen Sie Ihre Organisation aus.

  3. Klicken Sie auf der Seite VPC Service Controls auf den Namen Ihres Perimeters.

  4. Klicken Sie auf Ressourcen hinzufügen und gehen Sie so vor:

    1. Klicken Sie für jedes Projekt, in dem Sie Gemini aktiviert haben, im Bereich Ressourcen hinzufügen auf Projekt hinzufügen und gehen Sie dann so vor:

    2. Wählen Sie im Dialogfeld Projekte hinzufügen die Projekte aus, die Sie hinzufügen möchten.

      Wenn Sie eine gemeinsam genutzte VPC verwenden, fügen Sie das Hostprojekt und die Dienstprojekte dem Dienstperimeter hinzu.

    3. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

    4. Klicken Sie für jedes VPC-Netzwerk in Ihren Projekten im Bereich Ressourcen hinzufügen auf VPC-Netzwerk hinzufügen und gehen Sie dann so vor:

    5. Klicken Sie in der Projektliste auf das Projekt, das das VPC-Netzwerk enthält.

    6. Klicken Sie im Dialogfeld Ressourcen hinzufügen das Kästchen für das VPC-Netzwerk an.

    7. Klicken Sie auf Ausgewählte Ressourcen hinzufügen. Das hinzugefügte Netzwerk wird im Abschnitt VPC-Netzwerke angezeigt.

  5. Klicken Sie auf Eingeschränkte Dienste und gehen Sie so vor:

    1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.

    2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Gemini for Google Cloud API und die Gemini Code Assist API als die Dienste aus, die Sie innerhalb des Perimeters sichern möchten.

    3. Wenn Sie die Codeanpassung verwenden möchten, wählen Sie auch die Developer Connect API aus. Weitere Informationen finden Sie unter Developer Connect.

      Informationen dazu, wie Sie benutzerdefinierte Einschränkungen des Organisationsrichtliniendienstes verwenden, um bestimmte Vorgänge für developerconnect.googleapis.com/Connection und developerconnect.googleapis.com/GitRepositoryLink einzuschränken, finden Sie unter Benutzerdefinierte Organisationsrichtlinien erstellen.

    1. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.

  6. Optional: Wenn Ihre Entwickler Gemini innerhalb des Perimeters über das Cloud Code-Plug‑in in ihren IDEs verwenden müssen, müssen Sie die Richtlinie für eingehenden Traffic konfigurieren.

    Durch Aktivieren von VPC Service Controls für Gemini wird der gesamte Zugriff von außerhalb des Perimeters verhindert. Dazu gehört auch das Ausführen von Gemini Code Assist-IDE-Erweiterungen von Computern, die sich nicht im Perimeter befinden, z. B. Firmenlaptops. Diese Schritte sind daher erforderlich, wenn Sie Gemini mit dem Gemini Code Assist-Plug-in verwenden möchten.

    1. Klicken Sie auf Richtlinie für eingehenden Traffic.

    2. Klicken Sie im Bereich Regeln für eingehenden Traffic auf Regel hinzufügen.

    3. Geben Sie unter FROM-Attribute des API-Clients die Quellen außerhalb des Perimeters an, die Zugriff benötigen. Sie können Projekte, Zugriffsebenen und VPC-Netzwerke als Quellen angeben.

    4. Geben Sie unter TO-Attribute von Ressourcen/Diensten von Google Cloud den Dienstnamen von Gemini und die Gemini Code Assist API an.

    Eine Liste der Attribute der Regel für eingehenden Traffic finden Sie unter Referenz zu Regeln für eingehenden Traffic.

  7. Optional: Wenn Ihre Organisation Access Context Manager verwendet und Sie Entwicklern Zugriff auf geschützte Ressourcen von außerhalb des Perimeters gewähren möchten, legen Sie Zugriffsebenen fest:

    1. Klicken Sie auf Zugriffsebenen.

    2. Wählen Sie im Bereich Richtlinie für eingehenden Traffic: Zugriffsebenen das Feld Zugriffsebene auswählen aus.

    3. Klicken Sie die Kästchen für die Zugriffsebenen an, die Sie auf den Perimeter anwenden möchten.

  8. Klicken Sie auf Speichern.

Nachdem Sie diese Schritte ausgeführt haben, werden alle Aufrufe der Gemini for Google Cloud API von VPC Service Controls geprüft, um sicherzustellen, dass sie aus demselben Perimeter stammen.

VPC-Netzwerke konfigurieren

Sie müssen Ihre VPC-Netzwerke so konfigurieren, dass die Anfragen an die reguläre virtuelle IP-Adresse googleapis.com automatisch an den eingeschränkten virtuellen IP-Bereich (VIP) 199.36.153.4/30 (restricted.googleapis.com) geleitet werden, wo Ihr Gemini-Dienst die Bereitstellung durchführt. Sie müssen keine Änderungen an der Konfiguration der Gemini Code Assist-IDE-Erweiterungen vornehmen.

Führen Sie für jedes VPC-Netzwerk in Ihrem Projekt die folgenden Schritte aus, um den ausgehenden Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich zu blockieren:

  1. Aktivieren Sie Privater Google-Zugriff in den Subnetzen, in denen Ihre VPC-Netzwerkressourcen gehostet werden.

  2. Konfigurieren Sie Firewallregeln, um zu verhindern, dass Daten das VPC-Netzwerk verlassen.

    1. Erstellen Sie eine Ablehnungsregel, die ausgehenden Traffic blockiert.
    1. Erstellen Sie eine Zulassungsregel für ausgehenden Traffic, die Traffic auf 199.36.153.4/30 an TCP-Port 443 erlaubt. Achten Sie darauf, dass die Zulassungsregel für ausgehenden Traffic eine höhere Priorität hat als die Ablehnungsregel für ausgehenden Traffic, die Sie gerade erstellt haben. Dadurch wird ausgehender Traffic ausschließlich auf den eingeschränkten VIP-Bereich zugelassen.

  3. Erstellen Sie eine Cloud DNS-Antwortrichtlinie.

  4. Erstellen Sie eine Regel für die Antwortrichtlinie, um *.googleapis.com den folgenden Werten in restricted.googleapis.com zuzuordnen:

    • DNS-Name: *.googleapis.com.

    • Lokale Daten: restricted.googleapis.com.

    • Eintragstyp: A

    • TTL: 300

    • RR-Daten: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    Der IP-Adressbereich für restricted.googleapis.com ist 199.36.153.4/30.

Nachdem Sie diese Schritte ausgeführt haben, können Anfragen, die aus dem VPC-Netzwerk stammen, das VPC-Netzwerk nicht verlassen. Dadurch wird ausgehender Traffic außerhalb des Dienstperimeters verhindert. Diese Anfragen können nur Google APIs und Google-Dienste erreichen, die VPC Service Controls prüfen, wodurch eine Daten-Exfiltration über Google APIs verhindert wird.

Zusätzliche Konfigurationen

Je nachdem, welche Produkte von Google Cloud Sie mit Gemini verwenden, müssen Sie Folgendes beachten:

Weitere Informationen