Esta página se ha traducido con Cloud Translation API.

Configurar los controles de servicio de VPC para Gemini

Este documento muestra cómo configurar los controles de servicio de VPC para admitir Gemini. Google Cloud , un colaborador impulsado por IA en Google CloudPara completar esta configuración, haga lo siguiente:

Actualice el perímetro de servicio de su organización para incluir Gemini. Este documento presupone que ya cuenta con un perímetro de servicio a nivel de organización. Para obtener más información sobre los perímetros de servicio, consulte Detalles y configuración del perímetro de servicio .
En los proyectos en los que haya habilitado el acceso a Gemini, configure las redes VPC para bloquear el tráfico saliente, excepto el tráfico al rango VIP restringido.

Antes de empezar

Asegúrese de que Gemini Code Assist esté configurado para su Google CloudCuenta de usuario y proyecto.
Asegúrese de tener los roles de administración de identidad y acceso (IAM) necesarios para configurar y administrar los controles de servicio de VPC.
Asegúrese de tener un perímetro de servicio a nivel de organización que pueda usar para configurar Gemini. Si no tiene un perímetro de servicio a este nivel, puede crear uno .

Añade Gemini a tu perímetro de servicio

Para usar los controles de servicio de VPC con Gemini, debe agregar Gemini al perímetro de servicio a nivel de organización. El perímetro de servicio debe incluir todos los servicios que utiliza con Gemini y otros. Google Cloud servicios que desea proteger.

Para agregar Gemini a su perímetro de servicio, siga estos pasos:

En el Google Cloud consola, vaya a la página Controles de servicio de VPC .
Ir a Controles de servicio de VPC
Seleccione su organización
En la página Controles de servicio de VPC , haga clic en el nombre de su perímetro.
Haga clic en Agregar recursos y haga lo siguiente:
1. Para cada proyecto en el que haya habilitado Gemini, en el panel Agregar recursos , haga clic en Agregar proyecto y luego haga lo siguiente:
2. En el cuadro de diálogo Agregar proyectos , seleccione los proyectos que desea agregar.
  Si está utilizando VPC compartida , agregue el proyecto de host y los proyectos de servicio al perímetro de servicio.
3. Haz clic en "Añadir recursos seleccionados" . Los proyectos añadidos aparecen en la sección "Proyectos" .
4. Para cada red de VPC en sus proyectos, en el panel Agregar recursos , haga clic en Agregar red de VPC y luego haga lo siguiente:
5. En la lista de proyectos, haga clic en el proyecto que contiene la red VPC.
6. En el cuadro de diálogo Agregar recursos , seleccione la casilla de verificación de la red VPC.
7. Haga clic en "Agregar recursos seleccionados" . La red agregada aparecerá en la sección "Redes de VPC" .
Haga clic en Servicios restringidos y realice lo siguiente:
1. En el panel Servicios restringidos , haga clic en Agregar servicios .
2. En el cuadro de diálogo Especificar servicios para restringir , seleccione Gemini for Google Cloud API y Gemini Code Assist API como los servicios que desea proteger dentro del perímetro.
3. Si planea usar la personalización de código , seleccione también la API de Developer Connect . Para obtener más información sobre Developer Connect, consulte la descripción general de Developer Connect .
  Para aprender a usar las restricciones personalizadas del Servicio de políticas de la organización para restringir operaciones específicas en developerconnect.googleapis.com/Connection y developerconnect.googleapis.com/GitRepositoryLink , consulte Crear políticas de organización personalizadas .
Nota: Recomendamos que restrinja todos los servicios cuando cree un perímetro para mitigar el riesgo de exfiltración de datos. Google Cloudservicios.
1. Haga clic en Agregar n servicios , donde n es la cantidad de servicios que seleccionó en el paso anterior.
Opcional: si sus desarrolladores necesitan usar Gemini dentro del perímetro del complemento Cloud Code en sus IDE, entonces deberá configurar la política de ingreso .
Habilitar los controles de servicio de VPC para Gemini impide cualquier acceso desde fuera del perímetro, incluida la ejecución de extensiones IDE de Gemini Code Assist desde equipos fuera del perímetro, como portátiles de la empresa. Por lo tanto, estos pasos son necesarios si desea usar Gemini con el complemento Gemini Code Assist.
1. Haga clic en Política de ingreso .
2. En el panel Reglas de ingreso , haga clic en Agregar regla .
3. En los atributos "De" del cliente API , especifique las fuentes externas al perímetro que requieren acceso. Puede especificar proyectos, niveles de acceso y redes VPC como fuentes.
4. En A los atributos de Google Cloud recursos/servicios , especifica el nombre del servicio de Gemini y Gemini Code Assist API.
Para obtener una lista de los atributos de las reglas de ingreso, consulte Referencia de reglas de ingreso .
Opcional: si su organización utiliza Access Context Manager y desea proporcionar a los desarrolladores acceso a recursos protegidos desde fuera del perímetro, configure los niveles de acceso:
1. Haga clic en Niveles de acceso .
2. En el panel Política de ingreso: Niveles de acceso , seleccione el campo Elegir nivel de acceso .
3. Seleccione las casillas de verificación correspondientes a los niveles de acceso que desea aplicar al perímetro.
Haga clic en Guardar .

Después de completar estos pasos, VPC Service Controls verifica todas las llamadas a la API de Gemini para Google Cloud para garantizar que se originen dentro del mismo perímetro.

Configurar redes VPC

Debe configurar sus redes VPC para que las solicitudes enviadas a la IP virtual habitual googleapis.com se dirijan automáticamente al rango de IP virtuales restringidas (VIP) , 199.36.153.4/30 ( restricted.googleapis.com ), donde opera su servicio Gemini. No necesita cambiar ninguna configuración en las extensiones de Gemini Code Assist IDE.

Para cada red VPC de su proyecto, siga estos pasos para bloquear el tráfico saliente, excepto el tráfico al rango VIP restringido:

Habilite el acceso privado de Google en las subredes que alojan sus recursos de red VPC.
Configure las reglas de firewall para evitar que los datos salgan de la red VPC.
Precaución: Si no se configuran correctamente las reglas del firewall, sus servicios pueden quedar expuestos a la exfiltración de datos.
1. Cree una regla de denegación de salida que bloquee todo el tráfico saliente.
Nota: Asegúrese de que la regla de firewall de denegación de salida tenga una prioridad superior a 1000 De lo contrario, se bloqueará el tráfico desde el conector de acceso a VPC sin servidor a su servicio.
1. Cree una regla de salida permitida que permita el tráfico a 199.36.153.4/30 en el puerto TCP 443 Asegúrese de que la regla de salida permitida tenga prioridad sobre la regla de salida denegada que acaba de crear; esto permite la salida solo al rango VIP restringido.
Crear una política de respuesta de DNS en la nube .
Cree una regla para que la política de respuesta resuelva *.googleapis.com en restricted.googleapis.com con los siguientes valores:
- Nombre DNS: *.googleapis.com.
- Datos locales: restricted.googleapis.com.
- Tipo de registro: A
- Tiempo de vida: 300
- Datos RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
El rango de direcciones IP para restricted.googleapis.com es 199.36.153.4/30 .

Tras completar estos pasos, las solicitudes que se originan dentro de la red de VPC no podrán salir de ella, lo que impide su salida fuera del perímetro del servicio. Estas solicitudes solo pueden acceder a las API de Google y a los servicios que verifican los controles de servicio de VPC, lo que impide la exfiltración a través de las API de Google.

Configuraciones adicionales

Dependiendo de la Google Cloud Productos que utilices con Gemini, debes tener en cuenta lo siguiente:

Máquinas cliente conectadas al perímetro. Las máquinas dentro del perímetro de Controles de Servicio de VPC pueden acceder a todas las experiencias de Gemini. También puede extender el perímetro a una VPN en la nube o a una interconexión en la nube autorizada desde una red externa.
Máquinas cliente fuera del perímetro. Si tiene máquinas cliente fuera del perímetro del servicio, puede otorgar acceso controlado al servicio Gemini restringido.
- Para obtener más información, consulte Permitir acceso a recursos protegidos desde fuera de un perímetro .
- Para ver un ejemplo de cómo crear un nivel de acceso en una red corporativa, consulte Limitar el acceso en una red corporativa .
- Revise las limitaciones al utilizar los controles de servicio de VPC con Gemini.
Asistencia de código de Gemini. Para cumplir con los controles de servicio de VPC, asegúrese de que el IDE o la estación de trabajo que utiliza no tenga acceso a https://www.google.com/tools/feedback/mobile a través de las políticas de firewall.
Estaciones de trabajo en la nube. Si utiliza estaciones de trabajo en la nube, siga las instrucciones de "Configurar controles de servicio de VPC y clústeres privados" .

¿Qué sigue?

Para obtener información sobre las ofertas de cumplimiento en Google Cloud, consulte el Centro de recursos de cumplimiento .