Configurare i Controlli di servizio VPC per Gemini

Questo documento mostra come configurare i Controlli di servizio VPC per supportare Gemini per Google Cloud, un collaboratore basato sull'AI in Google Cloud. Per completare questa configurazione:

  1. Aggiorna il perimetro di servizio dell'organizzazione in modo da includere Gemini. Questo documento presuppone che tu abbia già un perimetro di servizio a livello di organizzazione. Per ulteriori informazioni sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio.

  2. Nei progetti in cui hai attivato l'accesso a Gemini, configura le reti VPC in modo da bloccare il traffico in uscita, tranne per il traffico verso l'intervallo VIP limitato.

Prima di iniziare

  1. Assicurati che Gemini Code Assist sia configurato per il tuo account utente e il tuo progetto Google Cloud.
  2. Assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari per configurare e amministrare i Controlli di servizio VPC.

  3. Assicurati di avere un perimetro di servizio a livello di organizzazione che puoi utilizzare per configurare Gemini. Se non disponi di un perimetro di servizio a questo livello, puoi crearne uno.

Aggiungere Gemini al perimetro di servizio

Per utilizzare i Controlli di servizio VPC con Gemini, aggiungi Gemini al perimetro di servizio a livello di organizzazione. Il perimetro di servizio deve includere tutti i servizi che utilizzi con Gemini e altri servizi Google Cloud che vuoi proteggere.

Per aggiungere Gemini al perimetro del servizio:

  1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Seleziona la tua organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic sul nome del perimetro.

  4. Fai clic su Aggiungi risorse ed esegui le seguenti operazioni:

    1. Per ogni progetto in cui hai attivato Gemini, nel riquadro Aggiungi risorse, fai clic su Aggiungi progetto e poi procedi nel seguente modo:

    2. Nella finestra di dialogo Aggiungi progetti, seleziona i progetti da aggiungere.

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the
      

      progetto host e i progetti di servizio al perimetro di servizio.

    3. Fai clic su Aggiungi risorse selezionate. I progetti aggiunti vengono visualizzati nella sezione Progetti.

    4. Per ogni rete VPC nei tuoi progetti, nel riquadro Aggiungi risorse, fai clic su Aggiungi rete VPC e poi segui questi passaggi:

    5. Nell'elenco dei progetti, fai clic sul progetto contenente la rete VPC.

    6. Nella finestra di dialogo Aggiungi risorse, seleziona la casella di controllo della rete VPC.

    7. Fai clic su Aggiungi risorse selezionate. La rete aggiunta viene visualizzata nella sezione Reti VPC.

  5. Fai clic su Servizi limitati e segui questi passaggi:

    1. Nel riquadro Servizi con limitazioni, fai clic su Aggiungi servizi.

    2. Nella finestra di dialogo Specifica i servizi da limitare, seleziona API Gemini per Google Cloud e API Gemini Code Assist come i servizi che vuoi proteggere all'interno del perimetro.

    1. Fai clic su Aggiungi n servizi, dove n è il numero di servizi selezionati nel passaggio precedente.
  6. (Facoltativo) Se i tuoi sviluppatori devono utilizzare Gemini all'interno del perimetro del plug-in Cloud Code nei loro IDE, dovrai configurare il regolamento di ingresso.

    L'attivazione dei Controlli di servizio VPC per Gemini impedisce tutto l'accesso dall'esterno del perimetro, inclusa l'esecuzione delle estensioni IDE di Gemini Code Assist da macchine non incluse nel perimetro, come i laptop aziendali. Pertanto, questi passaggi sono necessari se vuoi utilizzare Gemini con il plug-in Gemini Code Assist.

    1. Fai clic su Criterio in entrata.

    2. Nel riquadro Regole in entrata, fai clic su Aggiungi regola.

    3. In Attributi FROM del client API, specifica le origini al di fuori del perimetro che richiedono l'accesso. Puoi specificare progetti, livelli di accesso e reti VPC come origini.

    4. In Agli attributi delle risorse/dei servizi Google Cloud, specifica il nome del servizio di Gemini e dell'API Gemini Code Assist.

    Per un elenco degli attributi delle regole di ingresso, consulta la sezione Riferimento alle regole di ingresso.

  7. (Facoltativo) Se la tua organizzazione utilizza Gestore contesto accesso e vuoi fornire agli sviluppatori l'accesso alle risorse protette dall'esterno del perimetro, imposta i livelli di accesso:

    1. Fai clic su Livelli di accesso.

    2. Nel riquadro Policy in entrata: livelli di accesso, seleziona il campo Scegli livello di accesso.

    3. Seleziona le caselle di controllo corrispondenti ai livelli di accesso che vuoi applicare al perimetro.

  8. Fai clic su Salva.

Dopo aver completato questi passaggi, Controlli di servizio VPC controlla tutte le chiamate all'API Gemini per Google Cloud per assicurarsi che provengano dallo stesso perimetro.

Configura reti VPC

Devi configurare le reti VPC in modo che le richieste inviate all'IP virtuale googleapis.com normale vengano indirizzate automaticamente all'intervallo di IP virtuali (VIP) limitato, 199.36.153.4/30 (restricted.googleapis.com), in cui viene eseguito il servizio Gemini. Non è necessario modificare le configurazioni nelle estensioni IDE di Gemini Code Assist.

Per ogni rete VPC del progetto, segui questi passaggi per bloccare il traffico in uscita, ad eccezione del traffico verso l'intervallo VIP limitato:

  1. Abilita l'accesso privato Google nelle subnet che ospitano le risorse della rete VPC.

  2. Configura le regole del firewall per impedire ai dati di uscire dalla rete VPC.

    1. Crea una regola di negazione per il traffico in uscita che blocchi tutto il traffico in uscita.
    1. Crea una regola di uscita consentita che consenta il traffico verso 199.36.153.4/30 sulla porta TCP 443. Assicurati che la regola di uscita consentita abbia una priorità prima della regola di uscita vietata che hai appena creato: in questo modo, il traffico in uscita è consentito solo per l' intervallo VIP limitato.
  3. Crea un criterio di risposta Cloud DNS.

  4. Crea una regola per il criterio di risposta per risolvere *.googleapis.com in restricted.googleapis.com con i seguenti valori:

    • Nome DNS: *.googleapis.com.

    • Dati locali: restricted.googleapis.com.

    • Tipo di record: A

    • TTL: 300

    • Dati RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    L'intervallo di indirizzi IP per restricted.googleapis.com è 199.36.153.4/30.

Una volta completati questi passaggi, le richieste che provengono dall'interno della rete VPC non possono uscire dalla rete VPC, impedendo l'uscita al di fuori del perimetro di servizio. Queste richieste possono raggiungere solo le API e i servizi Google che controllano i Controlli di servizio VPC, impedendo l'esfiltrazione tramite le API Google.

Configurazioni aggiuntive

A seconda dei prodotti Google Cloud che utilizzi con Gemini, devi considerare quanto segue:

  • Computer client connessi al perimetro. Le macchine all'interno del perimetro di Controlli di servizio VPC possono accedere a tutte le esperienze Gemini. Puoi anche estendere il perimetro a un Cloud VPN o Cloud Interconnect autorizzato da una rete esterna.

  • Computer client al di fuori del perimetro. Quando hai macchine client al di fuori del perimetro di servizio, puoi concedere l'accesso controllato al servizio Gemini limitato.

  • Gemini Code Assist. Per la conformità ai Controlli di servizio VPC, assicurati che l'IDE o la workstation in uso non abbia accesso a https://www.google.com/tools/feedback/mobile tramite i criteri firewall.

  • Cloud Workstations. Se utilizzi Cloud Workstations, segui le istruzioni riportate in Configurare i controlli di servizio VPC e i cluster privati.

Passaggi successivi