为 Gemini 配置 VPC Service Controls

本文档介绍了如何在 VPC Service Controls 来支持 Google Cloud 专用 Gemini、 Google Cloud 中依托 AI 技术的协作工具。要完成此配置， 您需要执行以下操作：

1. 更新贵组织的服务边界以包含 Gemini。 本文档假定您在 组织级别。如需详细了解服务边界，请参阅 服务边界详情和 配置。

2. 在已启用 Gemini 访问权限的项目中， 配置 VPC 网络以阻止出站流量，但 将流量传输到受限 VIP 范围

准备工作

1. 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini。

2. 确保您拥有所需的 Identity and Access Management (IAM) 设置和管理角色 VPC Service Controls。

3. 确保您在组织级别拥有 可以用来设置 Gemini。如果您未使用相关服务 边界，您可以创建一个。

将 Gemini 添加到您的服务边界

如需将 VPC Service Controls 与 Gemini 搭配使用，请添加 Gemini 组织级的服务边界服务边界必须包含 与 Gemini 和其他 Google Cloud 服务搭配使用的服务 您想要保护的内容。

如需将 Gemini 添加到您的服务边界，请按以下步骤操作：

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

2. 选择您的组织。

3. 在 VPC Service Controls 页面上，点击您的边界的名称。

4. 点击添加资源，然后执行以下操作：

   1. 对于您在其中启用了 Gemini 的每个项目，请在 添加资源窗格，点击添加项目，然后执行以下操作：

      1. 在添加项目对话框中，选择要添加的项目。

         如果您使用的是共享 VPC，请添加主机 项目和服务项目连接到服务边界。

      2. 点击添加所选资源。添加的项目会显示在 Projects 中 部分。

   2. 对于项目中的每个 VPC 网络，请在添加 资源窗格中，点击添加 VPC 网络，然后执行以下操作：

      1. 从项目列表中，点击包含 VPC 的项目 。

      2. 在添加资源对话框中，选中 VPC 网络对应的复选框。

      3. 点击添加所选资源。已添加的网络会显示在 VPC 中 网络部分。

5. 点击受限服务，然后执行以下操作：

   1. 在受限的服务窗格中，点击添加服务。

   2. 在指定要限制的服务对话框中，选择 Cloud AI Companion API 作为您要保护的服务 边界内

   3. 点击添加 n 项服务，其中 n 是 您在上一步中选择的服务。

6. 可选：如果您的开发者需要在 Cloud Code 插件访问边界，然后 需要将 Cloud Code API 添加到受限服务列表中，并 配置入站流量政策。

   为 Gemini 启用 VPC Service Controls 会阻止所有 从边界外进行访问，包括运行 Cloud Code IDE 来自外围计算机（如公司笔记本电脑）的扩展程序。 因此，如果您要使用 与 Cloud Code 插件搭配使用的 Gemini。

   1. 在受限的服务窗格中，点击添加服务。

   2. 在指定要限制的服务对话框中，选择 Cloud Code API，作为您要保护的服务 边界内

   3. 点击添加 n 项服务，其中 n 是 您在上一步中选择的服务。

   4. 点击入站流量政策。

   5. 在入站流量规则窗格中，点击添加规则。

   6. 在来自 API 客户端的属性中，指定来自 边界内主机。您可以指定项目、访问权限级别和 VPC 网络作为来源。

   7. 在 Google Cloud 资源/服务的接收方特性中，指定服务 Gemini 和 Cloud Code API 的名称。

      有关入站规则属性的列表，请参阅入站规则 参考。

7. 可选：如果贵组织使用 Access Context Manager，并且您想要提供 开发者从边界外访问受保护的资源， 设置访问权限级别：

   1. 点击访问权限级别。

   2. 在入站流量政策：访问权限级别窗格中，选择选择访问权限 Level 字段中。

   3. 选中所需访问权限级别对应的复选框 将资源应用于边界

8. 点击保存。

完成这些步骤后，VPC Service Controls 会检查对 Cloud AI Companion API，以确保它们都来自同一个 边界。

配置 VPC 网络

您需要配置 VPC 网络 则会自动路由到常规googleapis.com虚拟 IP 受限虚拟 IP (VIP) 范围、199.36.153.4/30 (restricted.googleapis.com)，适用于你的 Gemini 服务 。您无需在 Cloud Code 中更改任何配置 IDE 扩展程序。

对于项目中的每个 VPC 网络，请按照以下步骤屏蔽 出站流量（受限的 VIP 范围的流量除外）：

1. 在托管您的 VPC 网络资源的子网上启用专用 Google 访问通道。

2. 配置防火墙 规则 以防止数据离开 VPC 网络。

   1. 创建阻止所有出站流量的拒绝出站规则。

   2. 创建一条允许流量通过 TCP 流向 199.36.153.4/30 的出站规则 端口：443。确保允许出站规则的优先级高于拒绝规则 出站规则 - 这只允许流向 受限的 VIP 范围

3. 创建 Cloud DNS 响应政策。

4. 为响应创建规则 政策 使用*.googleapis.comrestricted.googleapis.com 以下值：

   • DNS 名称：*.googleapis.com.

   • 本地数据：restricted.googleapis.com.

   • 记录类型：A

   • TTL：300

   • RR 数据：199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

     restricted.googleapis.com 的 IP 地址范围为 199.36.153.4/30。

在您完成这些步骤后， VPC 网络无法退出 VPC 网络， 来防止服务边界外的出站流量这些请求只会覆盖 检查 VPC Service Controls 的 Google API 和服务， 数据渗漏。

其他配置

具体取决于您通过哪款 Google Cloud 产品 Gemini，您必须考虑以下事项：

• 连接到边界的客户端机器。集群内的 VPC Service Controls 边界可以访问所有 Gemini 体验。您还可以将边界扩展到已获授权的 Cloud VPN 或 Cloud Interconnect 外部网络。

• 边界外的客户端计算机。当您有客户端机器时 您可以授予该服务在服务边界外的受控访问权限， Gemini 服务受限。

  • 如需了解详情，请参阅允许从外部访问受保护的资源 边界。

  • 如需查看如何在公司网络上创建访问权限级别的示例，请参阅 限制对公司的访问权限 网络。

  • 查看 限制 将 VPC Service Controls 与 Gemini 搭配使用。

• Gemini Code Assist。为了遵守 VPC Service Controls，请确保您使用的 IDE 或工作站 无权访问 https://www.google.com/tools/feedback/mobile 将流量消耗掉

• Cloud Workstations。如果您使用 Cloud Workstations，请按照 配置 VPC Service Controls 和专用 VPC 提供的 集群。

后续步骤

• 如需了解 Google Cloud 中的合规产品，请参阅 合规性资源中心。