Configura los Controles del servicio de VPC para Gemini

En este documento, se muestra cómo configurar los Controles del servicio de VPC para admitir Gemini para Google Cloud, un colaborador potenciado por IA en Google Cloud. Para completar esta configuración, haz lo siguiente:

  1. Actualiza el perímetro de servicio de tu organización para incluir Gemini. En este documento, se supone que ya tienes un perímetro de servicio a nivel de la organización. Para obtener más información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.

  2. En los proyectos en los que habilitaste el acceso a Gemini, configura las redes de VPC para que bloqueen el tráfico saliente, excepto el tráfico al rango VIP restringido.

Antes de comenzar

  1. Asegúrate de que Gemini Code Assist esté configurado para tu cuenta de usuario y proyecto de Google Cloud.

  2. Asegúrate de tener los roles de Identity and Access Management (IAM) necesarios para configurar y administrar los Controles del servicio de VPC.

  3. Asegúrate de tener un perímetro de servicio a nivel de la organización que puedas usar para configurar Gemini. Si no tienes un perímetro de servicio en este nivel, puedes crearlo.

Agrega Gemini a tu perímetro de servicio

Para usar los Controles del servicio de VPC con Gemini, debes agregar Gemini al perímetro de servicio a nivel de la organización. El perímetro del servicio debe incluir todos los servicios que usas con Gemini y otros servicios de Google Cloud que deseas proteger.

Para agregar Gemini a tu perímetro de servicio, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Selecciona tu organización.

  3. En la página Controles del servicio de VPC, haz clic en el nombre de tu perímetro.

  4. Haz clic en Agregar recursos y haz lo siguiente:

    1. Para cada proyecto en el que habilitaste Gemini, en el panel Add resources, haz clic en Add project y, luego, haz lo siguiente:

    2. En el diálogo Agregar proyectos, selecciona los proyectos que deseas agregar.

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the

      proyecto host y los proyectos de servicio al perímetro de servicio.

    3. Haz clic en Agregar recursos seleccionados. Los proyectos agregados aparecen en la sección Projects.

    4. Para cada red de VPC de tus proyectos, en el panel Agregar recursos, haz clic en Agregar red de VPC y, luego, haz lo siguiente:

    5. En la lista de proyectos, haz clic en el proyecto que contiene la red de VPC.

    6. En el cuadro de diálogo Agregar recursos, selecciona la casilla de verificación de la red de VPC.

    7. Haz clic en Agregar recursos seleccionados. La red agregada aparece en la sección Redes de VPC.

  5. Haz clic en Servicios restringidos y haz lo siguiente:

    1. En el panel Servicios restringidos, haz clic en Agregar servicios.

    2. En el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona API de Gemini para Google Cloud y API de Gemini Code Assist como los servicios que deseas proteger dentro del perímetro.

    1. Haz clic en Agregar n servicios, n es la cantidad de servicios que seleccionaste en el paso anterior.

  6. Opcional: Si tus desarrolladores necesitan usar Gemini dentro del perímetro del complemento de Cloud Code en sus IDEs, deberás configurar la política de entrada.

    Habilitar los Controles del servicio de VPC para Gemini evita todo acceso desde fuera del perímetro, incluida la ejecución de extensiones de IDE de Gemini Code Assist desde máquinas que no están en el perímetro, como las laptops de la empresa. Por lo tanto, estos pasos son necesarios si quieres usar Gemini con el complemento Gemini Code Assist.

    1. Haz clic en Política de entrada.

    2. En el panel Reglas de entrada, haz clic en Agregar regla.

    3. En Atributos FROM del cliente de la API, especifica las fuentes fuera del perímetro que requieren acceso. Puedes especificar proyectos, niveles de acceso y redes de VPC como fuentes.

    4. En Atributos de recursos o servicios de Google Cloud, especifica el nombre del servicio de Gemini y la API de Gemini Code Assist.

    Para obtener una lista de los atributos de reglas de entrada, consulta la Referencia de reglas de entrada.

  7. Opcional: Si tu organización usa Access Context Manager y deseas proporcionar a los desarrolladores acceso a recursos protegidos desde fuera del perímetro, configura los niveles de acceso:

    1. Haz clic en Niveles de acceso.

    2. En el panel Política de entrada: Niveles de acceso, selecciona el campo Selecciona el nivel de acceso.

    3. Selecciona las casillas de verificación que correspondan a los niveles de acceso que deseas aplicar al perímetro.

  8. Haz clic en Guardar.

Después de completar estos pasos, los Controles del servicio de VPC verifican todas las llamadas a la API de Gemini para Google Cloud para garantizar que se originen dentro del mismo perímetro.

Configura redes de VPC

Debes configurar tus redes de VPC para que las solicitudes que se envían a la IP virtual googleapis.com normal se enruten automáticamente al rango de IP virtual (VIP) restringido, 199.36.153.4/30 (restricted.googleapis.com), en el que se entrega tu servicio de Gemini. No es necesario que cambies ninguna configuración en las extensiones de IDE de Gemini Code Assist.

Sigue estos pasos para bloquear el tráfico saliente de cada red de VPC en tu proyecto, excepto el que se dirige al rango de VIP restringido:

  1. Habilita el Acceso privado a Google en las subredes que alojan tus recursos de red de VPC.

  2. Configura reglas de firewall para evitar que los datos abandonen la red de VPC.

    1. Crea una regla de rechazo de salida que bloquee todo el tráfico saliente.
    1. Crea una regla de autorización de salida que permita el tráfico hacia 199.36.153.4/30 en el puerto TCP 443. Asegúrate de que la regla de permiso de salida tenga prioridad antes de la regla de rechazo de salida que acabas de crear. Esto permite la salida solo al rango VIP restringido.

  3. Crea una política de respuesta de Cloud DNS.

  4. Crea una regla para la política de respuesta para resolver *.googleapis.com en restricted.googleapis.com con los siguientes valores:

    • Nombre de DNS: *.googleapis.com.

    • Datos locales: restricted.googleapis.com.

    • Tipo de registro: A

    • TTL: 300

    • Datos de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    El rango de direcciones IP de restricted.googleapis.com es 199.36.153.4/30.

Después de completar estos pasos, las solicitudes que se originan en la red de VPC no pueden salir de ella, lo que impide la salida fuera del perímetro del servicio. Estas solicitudes solo pueden llegar a las APIs y los servicios de Google que cumplen con los Controles del servicio de VPC, lo que evita el robo mediante las APIs de Google.

Parámetros de configuración adicionales

Según los productos de Google Cloud que uses con Gemini, debes tener en cuenta lo siguiente:

  • Máquinas cliente conectadas al perímetro Las máquinas que se encuentran dentro del perímetro de los Controles del servicio de VPC pueden acceder a todas las experiencias de Gemini. También puedes extender el perímetro a una Cloud VPN o Cloud Interconnect autorizada desde una red externa.

  • Máquinas cliente fuera del perímetro Cuando tienes máquinas cliente fuera del perímetro de servicio, puedes otorgar acceso controlado al servicio Gemini restringido.

  • Gemini Code Assist. Para cumplir con los Controles del servicio de VPC, asegúrate de que el IDE o la estación de trabajo que usas no tenga acceso a https://www.google.com/tools/feedback/mobile a través de las políticas de firewall.

  • Cloud Workstations. Si usas Cloud Workstations, sigue las instrucciones que se indican en Configura los Controles del servicio de VPC y los clústeres privados.

¿Qué sigue?