Gemini 用に VPC Service Controls を構成する

このドキュメントでは、 Google Cloudの AI を活用したコラボレーターである Gemini for Google Cloud をサポートするように VPC Service Controls を構成する方法について説明します。この構成を完了するには、次の操作を行います。

  1. Gemini を含めるために、組織のサービス境界を更新します。このドキュメントでは、組織レベルですでにサービス境界があることを前提としています。サービス境界の詳細については、サービス境界の詳細と構成をご覧ください。

  2. Gemini へのアクセスを有効にしたプロジェクトで、制限付きの VIP 範囲へのトラフィックを除くアウトバウンド トラフィックをブロックするように VPC ネットワークを構成します。

始める前に

  1. Gemini Code Assist が Google Cloudユーザー アカウントとプロジェクト用に設定されていることを確認します。

  2. VPC Service Controls の設定と管理に必要な Identity and Access Management(IAM)ロールがあることを確認します。

  3. Gemini の設定に使用できる組織レベルでサービス境界があることを確認します。このレベルでサービス境界がない場合は、サービス境界を作成できます。

Gemini をサービス境界に追加する

VPC Service Controls を Gemini で使用するには、組織レベルで Gemini をサービス境界に追加します。サービス境界には、Gemini で使用するすべてのサービスと、保護するほかの Google Cloud サービスを含める必要があります。

Gemini をサービス境界に追加する手順は次のとおりです。

  1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

    [VPC Service Controls] に移動

  2. 組織を選択する。

  3. [VPC Service Controls] ページで、境界の名称をクリックします。

  4. [リソースを追加] をクリックして、次の操作を行います。

    1. Gemini を有効にしたプロジェクトごとに、[リソースを追加] ペインで [プロジェクトを追加] をクリックしてから、次の操作を行います。

    2. [プロジェクトを追加] ダイアログで、追加するプロジェクトを選択します。

      共有 VPC を使用している場合は、ホスト プロジェクトとサービス プロジェクトをサービス境界に追加します。

    3. [Add selected resources] をクリックします。追加されたプロジェクトが [プロジェクト] セクションに表示されます。

    4. プロジェクト内の VPC ネットワークごとに、[リソースを追加] ペインで [VPC ネットワークを追加] をクリックし、次の操作を行います。

    5. プロジェクトのリストで、VPC ネットワークを含むプロジェクトをクリックします。

    6. [リソースを追加] ダイアログで、VPC ネットワークのチェックボックスをオンにします。

    7. [Add selected resources] をクリックします。追加したネットワークが [VPC ネットワーク] セクションに表示されます。

  5. [制限付きサービス] をクリックし、次の操作を行います。

    1. [制限付きサービス] ペインで [サービスを追加] をクリックします。

    2. [制限するサービスの指定] ダイアログで、境界内で保護するサービスとして [Gemini for Google Cloud API] と [Gemini Code Assist API] を選択します。

    3. コード カスタマイズを使用する場合は、Developer Connect API も選択します。Developer Connect の詳細については、Developer Connect の概要をご覧ください。

      組織のポリシー サービスのカスタム制約を使用して developerconnect.googleapis.com/Connectiondeveloperconnect.googleapis.com/GitRepositoryLink に対する特定のオペレーションを制限する方法については、カスタム組織のポリシーを作成するをご覧ください。

    1. [n 個のサービスを追加] をクリックします。ここで、n は、前の手順で選択したサービスの数です。

  6. 省略可: 開発者が IDE の Cloud Code プラグインから境界内で Gemini を使用できるようにする場合は、上り(内向き)ポリシーを構成する必要があります。

    Gemini 用の VPC Service Controls を有効にすると、境界外のマシン(会社のノートパソコンなど)から Gemini Code Assist IDE 拡張機能を実行するなど、境界外からのアクセスがすべて拒否されます。したがって、Gemini を Gemini Code Assist プラグインとともに使用するには、これらの手順が必要になります。

    1. [上り(内向き)ポリシー] をクリックします。

    2. [上り(内向き)ルール] ペインで、[ルールの追加] をクリックします。

    3. [API クライアントの属性から] で、アクセスを必要とする境界外部のソースを指定します。ソースとしてプロジェクト、アクセスレベル、VPC ネットワークを指定できます。

    4. [ Google Cloud リソース/サービスの属性へ] で、Gemini と Gemini Code Assist API のサービス名を指定します。

    上り(内向き)ルールの属性のリストについては、上り(内向き)ルールのリファレンスをご覧ください。

  7. 省略可: 組織で Access Context Manager を使用していて、境界の外部から保護されたリソースへのアクセスをデベロッパーに許可する場合は、アクセスレベルを設定します。

    1. [アクセスレベル] をクリックします。

    2. [上り(内向き)ポリシー: アクセスレベル] ペインで、[アクセスレベルを選択] フィールドを選択します。

    3. 境界に適用するアクセスレベルのチェックボックスを選択します。

  8. [保存] をクリックします。

これらの手順を完了すると、VPC Service Controls は Gemini for Google Cloud API に対するすべての呼び出しを調べて、これらが同じ境界内から発信されていることを確認します。

VPC ネットワークの構成

通常の googleapis.com 仮想 IP に送信されたリクエストが、Gemini サービスが提供されている制限付き仮想 IP(VIP)範囲199.36.153.4/30restricted.googleapis.com)に自動的にルーティングされるように VPC ネットワークを構成する必要があります。Gemini Code Assist IDE 拡張機能の構成を変更する必要はありません。

プロジェクト内の各 VPC ネットワークで、制限付きの VIP 範囲へのトラフィック以外のアウトバウンド トラフィックをブロックする手順は次のとおりです。

  1. VPC ネットワーク リソースをホストするサブネットでプライベート Google アクセスを有効にします。

  2. ファイアウォール ルールの構成を行い、VPC ネットワークの外部へデータが送信されるのを防ぎます。

    1. すべてのアウトバウンド トラフィックをブロックする下り(外向き)拒否ルールを作成します。
    1. TCP ポート 443199.36.153.4/30 へのトラフィックを許可する、下り(外向き)許可ルールを作成します。先ほど作成した下り(外向き)拒否ルールよりも前に、下り(外向き)許可ルールの優先度が設定されていることを確認します。これにより、制限付き VIP 範囲へのみ下り(外向き)が許可されます。

  3. Cloud DNS のレスポンス ポリシーを作成します

  4. 次の値を使用して、*.googleapis.comrestricted.googleapis.com に解決するレスポンス ポリシーのルールを作成します。

    • DNS 名: *.googleapis.com.

    • ローカルデータ: restricted.googleapis.com.

    • レコードタイプ: A

    • TTL: 300

    • RR データ: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    restricted.googleapis.com の IP アドレス範囲は 199.36.153.4/30 です。

この手順を完了すると、VPC ネットワーク内から発信されたリクエストは VPC ネットワークを離れることができなくなり、サービス境界外への下り(外向き)通信を防ぐことができます。これらのリクエストは、VPC Service Controls をチェックする Google API とサービスにのみ到達できるため、Google API を介したデータの引き出しが発生しません。

その他の構成

Gemini で使用する Google Cloud プロダクトに応じて、次の点に留意する必要があります。

  • 境界に接続されたクライアント マシン。VPC Service Controls の境界内のマシンは、すべての Gemini エクスペリエンスにアクセスできます。また、外部ネットワークから承認済みの Cloud VPN または Cloud Interconnect に境界を拡張することもできます。

  • 境界外のクライアント マシン。クライアント マシンがサービス境界外にある場合は、制限付き Gemini サービスへの制御されたアクセス権を付与できます。

  • Gemini Code Assist。VPC Service Controls を遵守するために、使用している IDE またはワークステーションがファイアウォール ポリシーを介して https://www.google.com/tools/feedback/mobile にアクセスできないことを確認します。

  • Cloud Workstations。Cloud Workstations を使用する場合は、VPC Service Controls とプライベート クラスタを構成する手順に沿って操作します。

次のステップ