Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour prendre en charge Gemini pour Google Cloud, un outil de collaboration Google Cloud optimisé par l'IA. Pour effectuer cette configuration, procédez comme suit:

  1. Mettez à jour le périmètre de service de votre organisation pour inclure Gemini. Ce document suppose que vous disposez déjà d'un périmètre de service au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez la page Périmètres de service : détails et configuration.

  2. Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurez les réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte.

Avant de commencer

  1. Assurez-vous que Gemini Code Assist est configuré pour votre compte utilisateur et votre projet Google Cloud.

  2. Assurez-vous de disposer des rôles IAM (Identity and Access Management) requis pour configurer et administrer VPC Service Controls.

  3. Assurez-vous de disposer d'un périmètre de service au niveau de l'organisation que vous pouvez utiliser pour configurer Gemini. Si vous ne disposez pas de périmètre de service à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les services que vous utilisez avec Gemini et les autres services Google Cloud que vous souhaitez protéger.

Pour ajouter Gemini à votre périmètre de service, procédez comme suit:

  1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

    Accéder à VPC Service Controls

  2. Sélectionnez votre organisation.

  3. Sur la page VPC Service Controls (Contrôles des services VPC), cliquez sur le nom de votre périmètre.

  4. Cliquez sur Ajouter des ressources, puis procédez comme suit:

    1. Pour chaque projet pour lequel vous avez activé Gemini, dans le volet Ajouter des ressources, cliquez sur Ajouter un projet, puis procédez comme suit:

    2. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the

      projet hôte et projets de service au périmètre de service.

    3. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.

    4. Pour chaque réseau VPC de vos projets, dans le volet Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:

    5. Dans la liste des projets, cliquez sur celui qui contient le réseau VPC.

    6. Dans la boîte de dialogue Ajouter des ressources, cochez la case correspondant au réseau VPC.

    7. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans la section Réseaux VPC.

  5. Cliquez sur Services restreints, puis procédez comme suit:

    1. Dans le volet Services restreints, cliquez sur Ajouter des services.

    2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Gemini pour Google Cloud et API Gemini Code Assist comme services à sécuriser dans le périmètre.

    1. Cliquez sur Ajouter n services, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.

  6. Facultatif: si vos développeurs doivent utiliser Gemini dans le périmètre du plug-in Cloud Code dans leurs IDE, vous devez configurer la stratégie d'entrée.

    L'activation de VPC Service Controls pour Gemini empêche tous les accès depuis l'extérieur du périmètre, y compris l'exécution des extensions de l'IDE Gemini Code Assist à partir de machines situées en dehors du périmètre telles que les ordinateurs portables d'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Gemini avec le plug-in Gemini Code Assist.

    1. Cliquez sur Règle d'entrée.

    2. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.

    3. Dans Attributs "FROM" du client API, spécifiez les sources situées en dehors du périmètre qui nécessitent un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC comme sources.

    4. Dans Aux attributs des ressources/services Google Cloud, spécifiez le nom du service de Gemini et de l'API Gemini Code Assist.

    Pour obtenir la liste des attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.

  7. Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez autoriser les développeurs à accéder aux ressources protégées depuis l'extérieur du périmètre, définissez des niveaux d'accès:

    1. Cliquez sur Niveaux d'accès.

    2. Dans le volet Stratégie d'entrée: niveaux d'accès, sélectionnez le champ Choisir un niveau d'accès.

    3. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre.

  8. Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à l'API Gemini for Google Cloud pour s'assurer qu'ils proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC pour que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard soient automatiquement acheminées vers la plage d'adresses IP virtuelles restreinte, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est exécuté. Vous n'avez pas besoin de modifier la configuration dans les extensions d'IDE Gemini Code Assist.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte:

  1. Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.

  2. Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

    1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
    1. Créez une règle de sortie autorisée qui permet l'acheminement du trafic vers 199.36.153.4/30 sur le port TCP 443. Assurez-vous que la règle de sortie autorisée est prioritaire sur la règle de sortie refusée que vous venez de créer. De cette façon, les sorties vers la plage VIP restreinte sont les seules autorisées.

  3. Créez une stratégie de réponse Cloud DNS.

  4. Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes:

    • Nom DNS: *.googleapis.com.

    • Données locales: restricted.googleapis.com.

    • Type d'enregistrement: A

    • TTL: 300

    • Données RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    La plage d'adresses IP de restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes terminées, les requêtes provenant du réseau VPC ne peuvent plus le quitter, ce qui empêche la sortie en dehors du périmètre de service. Ces requêtes ne peuvent atteindre que les API et les services de Google qui contrôlent VPC Service Controls, empêchant ainsi les risques d'exfiltration via les API Google.

Configurations supplémentaires

En fonction des produits Google Cloud que vous utilisez avec Gemini, vous devez prendre en compte les points suivants:

  • Machines clientes connectées au périmètre. Les machines situées dans le périmètre de VPC Service Controls peuvent accéder à toutes les expériences Gemini. Vous pouvez également étendre le périmètre à un Cloud VPN ou Cloud Interconnect autorisé à partir d'un réseau externe.

  • Machines clientes en dehors du périmètre Lorsque vous disposez de machines clientes en dehors du périmètre de service, vous pouvez accorder un accès contrôlé au service Gemini restreint.

  • Gemini Code Assist Pour respecter VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via des règles de pare-feu.

  • Cloud Workstations Si vous utilisez Cloud Workstations, suivez les instructions de la section Configurer VPC Service Controls et les clusters privés.

Étape suivante