VPC Service Controls für Gemini konfigurieren

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls für die Unterstützung von Gemini für Google Cloud konfigurieren, einer KI-gestützten Unterstützung in Google Cloud. So schließen Sie diese Konfiguration ab:

1. Aktualisieren Sie den Dienstperimeter Ihrer Organisation, um Gemini einzubeziehen. In diesem Dokument wird davon ausgegangen, dass Sie bereits einen Dienstperimeter auf Organisationsebene haben. Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

2. Konfigurieren Sie in Projekten, in denen Sie den Zugriff auf Gemini aktiviert haben, VPC-Netzwerke so, dass ausgehender Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich blockiert wird.

Hinweise

1. Prüfen Sie, ob Gemini Code Assist für Ihr Google Cloud-Nutzerkonto und -Projekt eingerichtet ist.

2. Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management), um VPC Service Controls einzurichten und zu verwalten.

3. Sie benötigen einen Dienstperimeter auf Organisationsebene, mit dem Sie Gemini einrichten können. Wenn Sie auf dieser Ebene keinen Dienstperimeter haben, können Sie einen erstellen.

Gemini zum Dienstperimeter hinzufügen

Wenn Sie VPC Service Controls mit Gemini verwenden möchten, fügen Sie Gemini dem Dienstperimeter auf Organisationsebene hinzu. Der Dienstperimeter muss alle Dienste enthalten, die Sie mit Gemini und anderen Google Cloud-Diensten verwenden, die Sie schützen möchten.

So fügen Sie Ihrem Dienstperimeter Gemini hinzu:

1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

   Zu „VPC Service Controls“

2. Wählen Sie Ihre Organisation aus.

3. Klicken Sie auf der Seite VPC Service Controls auf den Namen Ihres Perimeters.

4. Klicken Sie auf Ressourcen hinzufügen und gehen Sie so vor:

   1. Klicken Sie für jedes Projekt, in dem Sie Gemini aktiviert haben, im Bereich Ressourcen hinzufügen auf Projekt hinzufügen und führen Sie dann die folgenden Schritte aus:

   2. Wählen Sie im Dialogfeld Projekte hinzufügen die Projekte aus, die Sie hinzufügen möchten.

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the
      

      Hostprojekt und Dienstprojekte zum Dienstperimeter hinzufügen.

   3. Klicken Sie auf Auswahl hinzufügen. Die hinzugefügten Projekte werden im Bereich Projekte angezeigt.

   4. Klicken Sie für jedes VPC-Netzwerk in Ihren Projekten im Bereich Ressourcen hinzufügen auf VPC-Netzwerk hinzufügen und gehen Sie dann so vor:

   5. Klicken Sie in der Projektliste auf das Projekt, das das VPC-Netzwerk enthält.

   6. Klicken Sie im Dialogfeld Ressourcen hinzufügen das Kästchen für das VPC-Netzwerk an.

   7. Klicken Sie auf Auswahl hinzufügen. Das hinzugefügte Netzwerk wird im Bereich VPC-Netzwerke angezeigt.

5. Klicken Sie auf Eingeschränkte Dienste und gehen Sie so vor:

   1. Klicken Sie im Bereich Eingeschränkte Dienste auf Dienste hinzufügen.

   2. Wählen Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen die Dienste Gemini for Google Cloud API und Gemini Code Assist API aus, die Sie innerhalb des Perimeters schützen möchten.

   1. Klicken Sie auf n Dienste hinzufügen, wobei n die Anzahl der Dienste ist, die Sie im vorherigen Schritt ausgewählt haben.

6. Optional: Wenn Ihre Entwickler Gemini innerhalb des Perimeter über das Cloud Code-Plug-in in ihren IDEs verwenden müssen, müssen Sie die Ingress-Richtlinie konfigurieren.

   Durch Aktivieren von VPC Service Controls für Gemini wird der gesamte Zugriff von außerhalb des Perimeters verhindert. Dazu gehört auch das Ausführen von IDE-Erweiterungen für Gemini Code Assist von Computern, die sich nicht im Perimeter befinden, z. B. Laptops von Unternehmen. Daher sind diese Schritte erforderlich, wenn Sie Gemini mit dem Gemini Code Assist-Plug-in verwenden möchten.

   1. Klicken Sie auf Richtlinie für eingehenden Traffic.

   2. Klicken Sie im Bereich Regeln für eingehenden Traffic auf Regel hinzufügen.

   3. Geben Sie unter Von-Attribute des API-Clients die Quellen außerhalb des Perimeters an, für die Zugriff erforderlich ist. Sie können Projekte, Zugriffsebenen und VPC-Netzwerke als Quellen angeben.

   4. Geben Sie unter TO-Attribute von Google Cloud-Ressourcen/-Diensten den Dienstnamen der Gemini und Gemini Code Assist API an.

   Eine Liste der Regelattribute für eingehenden Traffic finden Sie unter Referenz zu Regeln für eingehenden Traffic.

7. Optional: Wenn Ihre Organisation Access Context Manager verwendet und Sie Entwicklern Zugriff auf geschützte Ressourcen von außerhalb des Perimeters gewähren möchten, legen Sie Zugriffsebenen fest:

   1. Klicken Sie auf Zugriffsebenen.

   2. Wählen Sie im Bereich Richtlinie für eingehenden Traffic: Zugriffsebenen das Feld Zugriffsebene auswählen aus.

   3. Klicken Sie auf die Kästchen für die Zugriffsebenen, die Sie auf den Perimeter anwenden möchten.

8. Klicken Sie auf Speichern.

Nachdem Sie diese Schritte ausgeführt haben, werden alle Aufrufe der Gemini for Google Cloud API mit VPC Service Controls geprüft, um sicherzustellen, dass sie aus demselben Perimeter stammen.

VPC-Netzwerke konfigurieren

Sie müssen Ihre VPC-Netzwerke so konfigurieren, dass Anfragen an die reguläre virtuelle googleapis.com-IP-Adresse automatisch an den eingeschränkten VIP-Bereich 199.36.153.4/30 (restricted.googleapis.com) geleitet werden, wo Ihr Gemini-Dienst die Bereitstellung durchführt. Sie müssen keine Konfigurationen in den IDE-Erweiterungen für Gemini Code Assist ändern.

Führen Sie für jedes VPC-Netzwerk in Ihrem Projekt die folgenden Schritte aus, um den ausgehenden Traffic mit Ausnahme des Traffics für den eingeschränkten VIP-Bereich zu blockieren:

1. Aktivieren Sie privaten Google-Zugriff in den Subnetzen, in denen Ihre VPC-Netzwerkressourcen gehostet werden.

2. Konfigurieren Sie Firewallregeln, um zu verhindern, dass Daten das VPC-Netzwerk verlassen.

   1. Erstellen Sie eine Regel, die ausgehenden Traffic blockiert.
   1. Erstellen Sie eine Regel, die ausgehenden Traffic auf 199.36.153.4/30 an TCP-Port 443 zulässt. Achten Sie darauf, dass die Regel zum Zulassen von ausgehendem Traffic vor der Regel zum Blockieren des ausgehenden Traffics, die Sie soeben erstellt haben, Priorität hat. Dadurch wird ausgehender Traffic ausschließlich auf den eingeschränkten VIP-Bereich zugelassen.

3. Erstellen Sie eine Cloud DNS-Antwortrichtlinie.

4. Erstellen Sie eine Regel für die Antwortrichtlinie, um *.googleapis.com in restricted.googleapis.com aufzulösen. Verwenden Sie dazu die folgenden Werte:

   • DNS-Name: *.googleapis.com.

   • Lokale Daten: restricted.googleapis.com.

   • Datensatztyp: A

   • TTL: 300

   • RR-Daten: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   Der IP-Adressbereich für restricted.googleapis.com ist 199.36.153.4/30.

Nachdem Sie diese Schritte ausgeführt haben, können Anfragen, die innerhalb des VPC-Netzwerk stammen, dieses nicht mehr verlassen. So wird der ausgehende Traffic außerhalb des Dienstperimeters verhindert. Diese Anfragen können nur Google APIs und Dienste erreichen, die VPC Service Controls prüfen, wodurch eine Daten-Exfiltration über Google APIs verhindert wird.

Zusätzliche Konfigurationen

Je nachdem, welche Google Cloud-Produkte Sie mit Gemini verwenden, müssen Sie Folgendes beachten:

• Clientcomputer, die mit dem Perimeter verbunden sind. Computer, die sich innerhalb des VPC Service Controls-Perimeters befinden, können auf alle Gemini-Umgebungen zugreifen. Sie können den Perimeter auch über ein externes Netzwerk auf ein autorisiertes Cloud VPN oder Cloud Interconnect ausweiten.

• Clientcomputer außerhalb des Perimeters Wenn Sie Clientcomputer außerhalb des Dienstperimeters haben, können Sie kontrollierten Zugriff auf den eingeschränkten Gemini-Dienst gewähren.

  • Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen von außerhalb eines Perimeters zulassen.

  • Eine Beispielanleitung zum Erstellen einer Zugriffsebene in einem Unternehmensnetzwerk finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.

  • Weitere Informationen zu den Einschränkungen bei der Verwendung von VPC Service Controls mit Gemini

• Gemini Code Assist Damit VPC Service Controls eingehalten werden, darf die von Ihnen verwendete IDE oder Workstation über Firewallrichtlinien keinen Zugriff auf https://www.google.com/tools/feedback/mobile haben.

• Cloud-Arbeitsstationen Wenn Sie Cloud Workstations verwenden, folgen Sie der Anleitung unter VPC Service Controls und private Cluster konfigurieren.

Nächste Schritte

• Informationen zu den Compliance-Angeboten in Google Cloud finden Sie im Center für Compliance-Ressourcen.