Configurar o VPC Service Controls para o Gemini

Neste documento, mostramos como configurar o VPC Service Controls para oferecer suporte ao Gemini para Google Cloud, um colaborador com tecnologia de IA no Google Cloud. Para fazer essa configuração, faça o seguinte:

  1. Atualize o perímetro de serviço da sua organização para incluir o Gemini. Este documento pressupõe que você já tenha um perímetro de serviço no nível da organização. Para mais informações sobre perímetros de serviço, consulte Detalhes e configuração do perímetro de serviço.

  2. Em projetos em que você ativou o acesso ao Gemini, configure redes VPC para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito.

Antes de começar

  1. Verifique se o Gemini Code Assist está configurado para sua conta de usuário e projeto do Google Cloud.

  2. Verifique se você tem os papéis necessários do Identity and Access Management (IAM) para configurar e administrar o VPC Service Controls.

  3. Verifique se você tem um perímetro de serviço no nível da organização que pode usar para configurar o Gemini. Se você não tiver um perímetro de serviço nesse nível, crie um.

Adicionar o Gemini ao perímetro de serviço

Para usar o VPC Service Controls com o Gemini, adicione o Gemini ao perímetro de serviço no nível da organização. O perímetro de serviço precisa incluir todos os serviços que você usa com o Gemini e outros serviços do Google Cloud que você quer proteger.

Para adicionar o Gemini ao perímetro de serviço, siga estas etapas:

  1. No console Google Cloud , acesse a págna VPC Service Controls.

    Acesse o VPC Service Controls

  2. Selecione a organização.

  3. Na página VPC Service Controls, clique no nome do perímetro.

  4. Clique em Adicionar recursos e faça o seguinte:

    1. Para cada projeto em que você ativou o Gemini, no painel Adicionar recursos, clique em Adicionar projeto e faça o seguinte:

    2. Na caixa de diálogo Adicionar projetos, selecione os projetos que você quer adicionar.

      Se você estiver usando a VPC compartilhada, adicione o projeto host e os projetos de serviço ao perímetro de serviço.

    3. Clique em Adicionar recursos selecionados. Os projetos adicionados aparecem na seção Projetos.

    4. Para cada rede VPC nos projetos, no painel Adicionar recursos, clique em Adicionar rede VPC e faça o seguinte:

    5. Na lista de projetos, clique naquele que contém a rede VPC.

    6. Na caixa de diálogo Adicionar recursos, marque a caixa de seleção da rede VPC.

    7. Clique em Adicionar recursos selecionados. A rede adicionada aparece na seção Redes VPC.

  5. Clique em Serviços restritos e faça o seguinte:

    1. No painel Serviços restritos, clique em Adicionar serviços.

    2. Na caixa de diálogo Especificar serviços a serem restringidos, selecione API Gemini para Google Cloud e API Gemini Code Assist como os serviços que você quer proteger dentro do perímetro.

    3. Se você pretende usar a personalização de código, selecione também a API Developer Connect. Para mais informações sobre o Developer Connect, consulte Visão geral do Developer Connect.

      Para saber como usar restrições personalizadas do serviço de políticas da organização para restringir operações específicas em developerconnect.googleapis.com/Connection e developerconnect.googleapis.com/GitRepositoryLink, consulte Criar políticas personalizadas da organização.

    1. Clique em Adicionar n serviços. A letra n é o número de serviços que você selecionou na etapa anterior.

  6. Opcional: se os desenvolvedores precisarem usar o Gemini no perímetro do plug-in Cloud Code nos ambientes de desenvolvimento integrados, será necessário configurar a política de entrada.

    Ativar o VPC Service Controls para o Gemini impede todo o acesso de fora do perímetro, incluindo a execução de extensões do ambiente de desenvolvimento integrado do Gemini Code Assist em máquinas que não estão no perímetro, como laptops da empresa. Portanto, essas etapas serão necessárias se você quiser usar o Gemini com o plug-in Gemini Code Assist.

    1. Clique em Política de entrada.

    2. No painel Regras de entrada, clique em Adicionar regra.

    3. Em De atributos do cliente da API, especifique as fontes de fora do perímetro que exigem acesso. É possível especificar projetos, níveis de acesso e redes VPC como origens.

    4. Em Para atributos de recursos/serviços Google Cloud , especifique o nome do serviço do Gemini e da API Gemini Code Assist.

    Para uma lista de atributos de regra de entrada, consulte Referência de regras de entrada.

  7. Opcional: se a organização usa o Access Context Manager e você quer dar aos desenvolvedores acesso a recursos protegidos de fora do perímetro, defina níveis de acesso:

    1. Clique em Níveis de acesso.

    2. No painel Política de entrada: níveis de acesso, selecione o campo Escolher nível de acesso.

    3. Marque as caixas de seleção correspondentes aos níveis de acesso que você quer aplicar ao perímetro de serviço.

  8. Clique em Salvar.

Depois de concluir essas etapas, o VPC Service Controls vai verificar todas as chamadas para a API Gemini para Google Cloud para garantir que elas sejam originadas no mesmo perímetro.

Configurar redes VPC

Configure as redes VPC para que as solicitações enviadas ao IP virtual regular googleapis.com sejam roteadas automaticamente para o intervalo de IP virtual restrito (VIP), 199.36.153.4/30 (restricted.googleapis.com), em que o serviço do Gemini está sendo exibido. Não é necessário alterar nenhuma configuração nas extensões do Gemini Code Assist para ambiente de desenvolvimento integrado.

Para cada rede VPC de um projeto, siga estas etapas para bloquear o tráfego de saída, exceto o tráfego para o intervalo VIP restrito:

  1. Ative o Acesso privado do Google nas sub-redes que hospedam os recursos da rede VPC.

  2. Configure as regras de firewall para impedir que os dados saiam da rede VPC:

    1. Crie uma regra de saída de negação que bloqueie todo o tráfego de saída.
    1. Crie uma regra de saída de permissão em que seja possível rotear o tráfego para 199.36.153.4/30 na porta TCP 443. Confira se a regra de saída de permissão tem uma prioridade antes da regra de saída de negação que você acabou de criar. Isso permite a saída somente para o intervalo VIP restrito.

  3. Crie uma política de resposta do Cloud DNS.

  4. Crie uma regra para a política de resposta para resolver *.googleapis.com para restricted.googleapis.com com os seguintes valores:

    • Nome do DNS: *.googleapis.com.

    • Dados locais: restricted.googleapis.com.

    • Tipo de registro: A

    • TTL: 300

    • Dados de RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    O intervalo de endereços IP de restricted.googleapis.com é 199.36.153.4/30.

Depois de concluir essas etapas, as solicitações originadas na rede VPC não poderão sair dela, impedindo a saída fora do perímetro de serviço. Essas solicitações só podem alcançar APIs e serviços do Google que verificam o VPC Service Controls, evitando a exfiltração pelas APIs do Google.

Outras configurações

Dependendo dos produtos do Google Cloud que você usa com o Gemini, considere o seguinte:

  • Máquinas cliente conectadas ao perímetro. As máquinas dentro do perímetro do VPC Service Controls podem acessar todas as experiências do Gemini. Também é possível estender o perímetro para uma Cloud VPN ou um Cloud Interconnect autorizados de uma rede externa.

  • Máquinas cliente fora do perímetro. Quando você tem máquinas cliente fora do perímetro de serviço, é possível conceder acesso controlado ao serviço restrito do Gemini.

  • Gemini Code Assist. Para obedecer aos VPC Service Controls, verifique se o ambiente de desenvolvimento integrado ou a estação de trabalho que você está usando não tem acesso a https://www.google.com/tools/feedback/mobile por políticas de firewall.

  • Cloud Workstations. Se você usa o Cloud Workstations, siga as instruções em Configurar o VPC Service Controls e clusters particulares.

A seguir