Configurar controles de serviço VPC para Gemini, Configurar controles de serviço VPC para Gemini

Este documento mostra como configurar os VPC Service Controls para oferecer suporte ao Gemini para Google Cloud , um colaborador com tecnologia de IA em Google Cloud. Para concluir esta configuração, faça o seguinte:

1. Atualize o perímetro de serviço da sua organização para incluir o Gemini. Este documento pressupõe que você já tenha um perímetro de serviço no nível da organização. Para obter mais informações sobre perímetros de serviço, consulte Detalhes e configuração do perímetro de serviço .

2. Em projetos nos quais você habilitou o acesso ao Gemini, configure as redes VPC para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito.

Antes de começar

1. Certifique-se de que o Gemini Code Assist esteja configurado para o seu Google Cloudconta de usuário e projeto.

2. Certifique-se de ter as funções de Gerenciamento de Identidade e Acesso (IAM) necessárias para configurar e administrar o VPC Service Controls.

3. Certifique-se de ter um perímetro de serviço no nível da organização que possa ser usado para configurar o Gemini. Se não tiver um perímetro de serviço nesse nível, você pode criar um .

Adicione Gemini ao seu perímetro de serviço

Para usar o VPC Service Controls com o Gemini, adicione o Gemini ao perímetro de serviço no nível da organização. O perímetro de serviço deve incluir todos os serviços que você usa com o Gemini e outros. Google Cloud serviços que você deseja proteger.

Para adicionar o Gemini ao seu perímetro de serviço, siga estas etapas:

1. No Google Cloud console, acesse a página VPC Service Controls .

   Acesse os controles de serviço da VPC

2. Selecione sua organização.

3. Na página VPC Service Controls , clique no nome do seu perímetro.

4. Clique em Adicionar recursos e faça o seguinte:

   1. Para cada projeto no qual você habilitou o Gemini, no painel Adicionar recursos , clique em Adicionar projeto e faça o seguinte:

   2. Na caixa de diálogo Adicionar projetos , selecione os projetos que você deseja adicionar.

      Se você estiver usando o Shared VPC , adicione o projeto host e os projetos de serviço ao perímetro de serviço.

   3. Clique em Adicionar recursos selecionados . Os projetos adicionados aparecem na seção Projetos .

   4. Para cada rede VPC em seus projetos, no painel Adicionar recursos , clique em Adicionar rede VPC e faça o seguinte:

   5. Na lista de projetos, clique no projeto que contém a rede VPC.

   6. Na caixa de diálogo Adicionar recursos , marque a caixa de seleção da rede VPC.

   7. Clique em Adicionar recursos selecionados . A rede adicionada aparecerá na seção Redes VPC .

5. Clique em Serviços Restritos e faça o seguinte:

   1. No painel Serviços restritos , clique em Adicionar serviços .

   2. Na caixa de diálogo Especificar serviços a serem restringidos , selecione Gemini para Google Cloud API e Gemini Code Assist API como os serviços que você deseja proteger dentro do perímetro.

   3. Se você planeja usar a personalização de código , selecione também a API do Developer Connect . Para obter mais informações sobre o Developer Connect, consulte Visão geral do Developer Connect .

      Para saber como usar restrições personalizadas do Organization Policy Service para restringir operações específicas em developerconnect.googleapis.com/Connection e developerconnect.googleapis.com/GitRepositoryLink , consulte Criar políticas de organização personalizadas .

   1. Clique em Adicionar n serviços , onde n é o número de serviços que você selecionou na etapa anterior.

6. Opcional: se seus desenvolvedores precisarem usar o Gemini dentro do perímetro do plugin Cloud Code em seus IDEs, você precisará configurar a política de entrada .

   Habilitar o VPC Service Controls para o Gemini impede todo o acesso de fora do perímetro, incluindo a execução de extensões do Gemini Code Assist IDE em máquinas fora do perímetro, como laptops da empresa. Portanto, estas etapas são necessárias se você quiser usar o Gemini com o plugin Gemini Code Assist.

   1. Clique em Política de entrada .

   2. No painel Regras do Ingress , clique em Adicionar regra .

   3. Em "Atributos do cliente da API" , especifique as fontes de fora do perímetro que exigem acesso. Você pode especificar projetos, níveis de acesso e redes VPC como fontes.

   4. Em Para atributos de Google Cloud recursos/serviços , especifique o nome do serviço do Gemini e da API Gemini Code Assist.

   Para obter uma lista de atributos de regras de entrada, consulte Referência de regras de entrada .

7. Opcional: se sua organização usa o Access Context Manager e você deseja fornecer aos desenvolvedores acesso a recursos protegidos de fora do perímetro, defina os níveis de acesso:

   1. Clique em Níveis de acesso .

   2. No painel Política de entrada: Níveis de acesso , selecione o campo Escolher nível de acesso .

   3. Marque as caixas de seleção correspondentes aos níveis de acesso que você deseja aplicar ao perímetro.

8. Clique em Salvar .

Depois de concluir essas etapas, o VPC Service Controls verifica todas as chamadas para a API Gemini for Google Cloud para garantir que elas se originem dentro do mesmo perímetro.

Configurar redes VPC

Você precisa configurar suas redes VPC para que as solicitações enviadas ao IP virtual regular googleapis.com sejam roteadas automaticamente para o intervalo de IP virtual restrito (VIP) , 199.36.153.4/30 ( restricted.googleapis.com ), onde seu serviço Gemini está sendo atendido. Não é necessário alterar nenhuma configuração nas extensões do Gemini Code Assist IDE.

Para cada rede VPC no seu projeto, siga estas etapas para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito:

1. Habilite o Private Google Access nas sub-redes que hospedam seus recursos de rede VPC.

2. Configure regras de firewall para impedir que dados saiam da rede VPC.

   1. Crie uma regra de negação de saída que bloqueie todo o tráfego de saída.
   1. Crie uma regra de permissão de saída que permita o tráfego para 199.36.153.4/30 na porta TCP 443 Certifique-se de que a regra de permissão de saída tenha prioridade sobre a regra de negação de saída que você acabou de criar — isso permite a saída apenas para o intervalo VIP restrito.

3. Crie uma política de resposta do Cloud DNS .

4. Crie uma regra para a política de resposta para resolver *.googleapis.com para restricted.googleapis.com com os seguintes valores:

   • Nome DNS: *.googleapis.com.

   • Dados locais: restricted.googleapis.com.

   • Tipo de registro: A

   • TTL: 300

   • Dados RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   O intervalo de endereços IP para restricted.googleapis.com é 199.36.153.4/30 .

Após a conclusão dessas etapas, as solicitações originadas na rede VPC não poderão sair dela, impedindo a saída para fora do perímetro do serviço. Essas solicitações só podem acessar APIs e serviços do Google que verificam os Controles de Serviço da VPC, impedindo a exfiltração pelas APIs do Google.

Configurações adicionais

Dependendo do Google Cloud produtos que você usa com Gemini, você deve considerar o seguinte:

• Máquinas clientes conectadas ao perímetro. Máquinas dentro do perímetro do VPC Service Controls podem acessar todas as experiências do Gemini. Você também pode estender o perímetro para uma VPN de Nuvem ou Interconexão de Nuvem autorizada a partir de uma rede externa.

• Máquinas clientes fora do perímetro. Quando você tem máquinas clientes fora do perímetro de serviço, pode conceder acesso controlado ao serviço Gemini restrito.

  • Para obter mais informações, consulte Permitir acesso a recursos protegidos de fora de um perímetro .

  • Para obter um exemplo de como criar um nível de acesso em uma rede corporativa, consulte Limitar o acesso em uma rede corporativa .

  • Revise as limitações ao usar o VPC Service Controls com o Gemini.

• Gemini Code Assist. Para conformidade com os Controles de Serviço da VPC, certifique-se de que o IDE ou a estação de trabalho que você está usando não tenha acesso a https://www.google.com/tools/feedback/mobile por meio de políticas de firewall.

• Estações de Trabalho em Nuvem. Se você usa Estações de Trabalho em Nuvem, siga as instruções em Configurar VPC Service Controls e clusters privados .

O que vem a seguir

• Para obter informações sobre as ofertas de conformidade em Google Cloud, consulte o Centro de recursos de conformidade .

Este documento mostra como configurar os VPC Service Controls para oferecer suporte ao Gemini para Google Cloud , um colaborador com tecnologia de IA em Google Cloud. Para concluir esta configuração, faça o seguinte:

1. Atualize o perímetro de serviço da sua organização para incluir o Gemini. Este documento pressupõe que você já tenha um perímetro de serviço no nível da organização. Para obter mais informações sobre perímetros de serviço, consulte Detalhes e configuração do perímetro de serviço .

2. Em projetos nos quais você habilitou o acesso ao Gemini, configure as redes VPC para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito.

Antes de começar

1. Certifique-se de que o Gemini Code Assist esteja configurado para o seu Google Cloudconta de usuário e projeto.

2. Certifique-se de ter as funções de Gerenciamento de Identidade e Acesso (IAM) necessárias para configurar e administrar o VPC Service Controls.

3. Certifique-se de ter um perímetro de serviço no nível da organização que possa ser usado para configurar o Gemini. Se não tiver um perímetro de serviço nesse nível, você pode criar um .

Adicione Gemini ao seu perímetro de serviço

Para usar o VPC Service Controls com o Gemini, adicione o Gemini ao perímetro de serviço no nível da organização. O perímetro de serviço deve incluir todos os serviços que você usa com o Gemini e outros. Google Cloud serviços que você deseja proteger.

Para adicionar o Gemini ao seu perímetro de serviço, siga estas etapas:

1. No Google Cloud console, acesse a página VPC Service Controls .

   Acesse os controles de serviço da VPC

2. Selecione sua organização.

3. Na página VPC Service Controls , clique no nome do seu perímetro.

4. Clique em Adicionar recursos e faça o seguinte:

   1. Para cada projeto no qual você habilitou o Gemini, no painel Adicionar recursos , clique em Adicionar projeto e faça o seguinte:

   2. Na caixa de diálogo Adicionar projetos , selecione os projetos que você deseja adicionar.

      Se você estiver usando o Shared VPC , adicione o projeto host e os projetos de serviço ao perímetro de serviço.

   3. Clique em Adicionar recursos selecionados . Os projetos adicionados aparecem na seção Projetos .

   4. Para cada rede VPC em seus projetos, no painel Adicionar recursos , clique em Adicionar rede VPC e faça o seguinte:

   5. Na lista de projetos, clique no projeto que contém a rede VPC.

   6. Na caixa de diálogo Adicionar recursos , marque a caixa de seleção da rede VPC.

   7. Clique em Adicionar recursos selecionados . A rede adicionada aparecerá na seção Redes VPC .

5. Clique em Serviços Restritos e faça o seguinte:

   1. No painel Serviços restritos , clique em Adicionar serviços .

   2. Na caixa de diálogo Especificar serviços a serem restringidos , selecione Gemini para Google Cloud API e Gemini Code Assist API como os serviços que você deseja proteger dentro do perímetro.

   3. Se você planeja usar a personalização de código , selecione também a API do Developer Connect . Para obter mais informações sobre o Developer Connect, consulte Visão geral do Developer Connect .

      Para saber como usar restrições personalizadas do Organization Policy Service para restringir operações específicas em developerconnect.googleapis.com/Connection e developerconnect.googleapis.com/GitRepositoryLink , consulte Criar políticas de organização personalizadas .

   1. Clique em Adicionar n serviços , onde n é o número de serviços que você selecionou na etapa anterior.

6. Opcional: se seus desenvolvedores precisarem usar o Gemini dentro do perímetro do plugin Cloud Code em seus IDEs, você precisará configurar a política de entrada .

   Habilitar o VPC Service Controls para o Gemini impede todo o acesso de fora do perímetro, incluindo a execução de extensões do Gemini Code Assist IDE em máquinas fora do perímetro, como laptops da empresa. Portanto, estas etapas são necessárias se você quiser usar o Gemini com o plugin Gemini Code Assist.

   1. Clique em Política de entrada .

   2. No painel Regras do Ingress , clique em Adicionar regra .

   3. Em "Atributos do cliente da API" , especifique as fontes de fora do perímetro que exigem acesso. Você pode especificar projetos, níveis de acesso e redes VPC como fontes.

   4. Em Para atributos de Google Cloud recursos/serviços , especifique o nome do serviço do Gemini e da API Gemini Code Assist.

   Para obter uma lista de atributos de regras de entrada, consulte Referência de regras de entrada .

7. Opcional: se sua organização usa o Access Context Manager e você deseja fornecer aos desenvolvedores acesso a recursos protegidos de fora do perímetro, defina os níveis de acesso:

   1. Clique em Níveis de acesso .

   2. No painel Política de entrada: Níveis de acesso , selecione o campo Escolher nível de acesso .

   3. Marque as caixas de seleção correspondentes aos níveis de acesso que você deseja aplicar ao perímetro.

8. Clique em Salvar .

Depois de concluir essas etapas, o VPC Service Controls verifica todas as chamadas para a API Gemini for Google Cloud para garantir que elas se originem dentro do mesmo perímetro.

Configurar redes VPC

Você precisa configurar suas redes VPC para que as solicitações enviadas ao IP virtual regular googleapis.com sejam roteadas automaticamente para o intervalo de IP virtual restrito (VIP) , 199.36.153.4/30 ( restricted.googleapis.com ), onde seu serviço Gemini está sendo atendido. Não é necessário alterar nenhuma configuração nas extensões do Gemini Code Assist IDE.

Para cada rede VPC no seu projeto, siga estas etapas para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito:

1. Habilite o Private Google Access nas sub-redes que hospedam seus recursos de rede VPC.

2. Configure regras de firewall para impedir que dados saiam da rede VPC.

   1. Crie uma regra de negação de saída que bloqueie todo o tráfego de saída.
   1. Crie uma regra de permissão de saída que permita o tráfego para 199.36.153.4/30 na porta TCP 443 Certifique-se de que a regra de permissão de saída tenha prioridade sobre a regra de negação de saída que você acabou de criar — isso permite a saída apenas para o intervalo VIP restrito.

3. Crie uma política de resposta do Cloud DNS .

4. Crie uma regra para a política de resposta para resolver *.googleapis.com para restricted.googleapis.com com os seguintes valores:

   • Nome DNS: *.googleapis.com.

   • Dados locais: restricted.googleapis.com.

   • Tipo de registro: A

   • TTL: 300

   • Dados RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   O intervalo de endereços IP para restricted.googleapis.com é 199.36.153.4/30 .

Após a conclusão dessas etapas, as solicitações originadas na rede VPC não poderão sair dela, impedindo a saída para fora do perímetro do serviço. Essas solicitações só podem acessar APIs e serviços do Google que verificam os Controles de Serviço da VPC, impedindo a exfiltração pelas APIs do Google.

Configurações adicionais

Dependendo do Google Cloud produtos que você usa com Gemini, você deve considerar o seguinte:

• Máquinas clientes conectadas ao perímetro. Máquinas dentro do perímetro do VPC Service Controls podem acessar todas as experiências do Gemini. Você também pode estender o perímetro para uma VPN de Nuvem ou Interconexão de Nuvem autorizada a partir de uma rede externa.

• Máquinas clientes fora do perímetro. Quando você tem máquinas clientes fora do perímetro de serviço, pode conceder acesso controlado ao serviço Gemini restrito.

  • Para obter mais informações, consulte Permitir acesso a recursos protegidos de fora de um perímetro .

  • Para obter um exemplo de como criar um nível de acesso em uma rede corporativa, consulte Limitar o acesso em uma rede corporativa .

  • Revise as limitações ao usar o VPC Service Controls com o Gemini.

• Gemini Code Assist. Para conformidade com os Controles de Serviço da VPC, certifique-se de que o IDE ou a estação de trabalho que você está usando não tenha acesso a https://www.google.com/tools/feedback/mobile por meio de políticas de firewall.

• Estações de Trabalho em Nuvem. Se você usa Estações de Trabalho em Nuvem, siga as instruções em Configurar VPC Service Controls e clusters privados .

O que vem a seguir

• Para obter informações sobre as ofertas de conformidade em Google Cloud, consulte o Centro de recursos de conformidade .