本文档介绍了如何在 VPC Service Controls 来支持 Google Cloud 专用 Gemini、 Google Cloud 中依托 AI 技术的协作工具。要完成此配置, 您需要执行以下操作:
更新贵组织的服务边界以包含 Gemini。 本文档假定您在 组织级别。如需详细了解服务边界,请参阅 服务边界详情和 配置。
在已启用 Gemini 访问权限的项目中, 配置 VPC 网络以阻止出站流量,但 将流量传输到受限 VIP 范围
准备工作
- 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini。
确保您拥有所需的 Identity and Access Management (IAM) 设置和管理角色 VPC Service Controls。
确保您在组织级别拥有 可以用来设置 Gemini。如果您未使用相关服务 边界,您可以创建一个。
将 Gemini 添加到您的服务边界
如需将 VPC Service Controls 与 Gemini 搭配使用,请添加 Gemini 组织级的服务边界服务边界必须包含 与 Gemini 和其他 Google Cloud 服务搭配使用的服务 您想要保护的内容。
如需将 Gemini 添加到您的服务边界,请按以下步骤操作:
在 Google Cloud 控制台中,转到 VPC Service Controls 页面。
选择您的组织。
在 VPC Service Controls 页面上,点击您的边界的名称。
点击添加资源,然后执行以下操作:
对于您在其中启用了 Gemini 的每个项目,请在 添加资源窗格,点击添加项目,然后执行以下操作:
在添加项目对话框中,选择要添加的项目。
如果您使用的是共享 VPC,请添加主机 项目和服务项目连接到服务边界。
点击添加所选资源。添加的项目会显示在 Projects 中 部分。
对于项目中的每个 VPC 网络,请在添加 资源窗格中,点击添加 VPC 网络,然后执行以下操作:
从项目列表中,点击包含 VPC 的项目 。
在添加资源对话框中,选中 VPC 网络对应的复选框。
点击添加所选资源。已添加的网络会显示在 VPC 中 网络部分。
点击受限服务,然后执行以下操作:
在受限的服务窗格中,点击添加服务。
在指定要限制的服务对话框中,选择 Cloud AI Companion API 作为您要保护的服务 边界内
点击添加 n 项服务,其中 n 是 您在上一步中选择的服务。
可选:如果您的开发者需要在 Cloud Code 插件访问边界,然后 需要将 Cloud Code API 添加到受限服务列表中,并 配置入站流量政策。
为 Gemini 启用 VPC Service Controls 会阻止所有 从边界外进行访问,包括运行 Cloud Code IDE 来自外围计算机(如公司笔记本电脑)的扩展程序。 因此,如果您想使用 将 Gemini 与 Cloud Code 插件搭配使用。
在受限的服务窗格中,点击添加服务。
在指定要限制的服务对话框中,选择 Cloud Code API,作为您要保护的服务 边界内
点击添加 n 项服务,其中 n 是 您在上一步中选择的服务。
点击入站流量政策。
在入站流量规则窗格中,点击添加规则。
在来自 API 客户端的属性中,指定来自 边界内主机。您可以指定项目、访问权限级别和 VPC 网络作为来源。
在 Google Cloud 资源/服务的接收方特性中,指定服务 Gemini 和 Cloud Code API 的名称。
有关入站规则属性的列表,请参阅入站规则 参考。
可选:如果贵组织使用 Access Context Manager,并且您想要提供 开发者从边界外访问受保护的资源, 设置访问权限级别:
点击访问权限级别。
在入站流量政策:访问权限级别窗格中,选择选择访问权限 Level 字段中。
选中所需访问权限级别对应的复选框 将资源应用于边界
点击保存。
完成这些步骤后,VPC Service Controls 会检查对 Cloud AI Companion API,以确保它们都来自同一个 边界。
配置 VPC 网络
您需要配置 VPC 网络
则会自动路由到常规googleapis.com
虚拟 IP
受限虚拟 IP (VIP)
范围、199.36.153.4/30
(restricted.googleapis.com
),适用于你的 Gemini 服务
。您无需在 Cloud Code 中更改任何配置
IDE 扩展程序。
对于项目中的每个 VPC 网络,请按照以下步骤屏蔽 出站流量(受限的 VIP 范围的流量除外):
在托管您的 VPC 网络资源的子网上启用专用 Google 访问通道。
配置防火墙 规则 以防止数据离开 VPC 网络。
创建阻止所有出站流量的拒绝出站规则。
创建一条允许流量通过 TCP 流向
199.36.153.4/30
的出站规则 端口:443
。确保允许出站规则的优先级高于拒绝规则 出站规则 - 这只允许流向 受限的 VIP 范围
为响应创建规则 政策 将
*.googleapis.com
解析为restricted.googleapis.com
以下值:DNS 名称:
*.googleapis.com.
本地数据:
restricted.googleapis.com.
记录类型:
A
TTL:
300
RR 数据:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
restricted.googleapis.com
的 IP 地址范围为199.36.153.4/30
。
在您完成这些步骤后, VPC 网络无法退出 VPC 网络, 来防止服务边界外的出站流量这些请求只会覆盖 检查 VPC Service Controls 的 Google API 和服务, 数据渗漏。
其他配置
具体取决于您通过哪款 Google Cloud 产品 Gemini,您必须考虑以下事项:
连接到边界的客户端机器。集群内的 VPC Service Controls 边界可以访问所有 Gemini 体验。您还可以将边界扩展到已获授权的 Cloud VPN 或 Cloud Interconnect 外部网络。
边界外的客户端计算机。当您有客户端机器时 您可以授予该服务在服务边界外的受控访问权限, Gemini 服务受限。
如需了解详情,请参阅允许从外部访问受保护的资源 边界。
如需查看如何在公司网络上创建访问权限级别的示例,请参阅 限制对公司的访问权限 网络。
查看 限制 将 VPC Service Controls 与 Gemini 搭配使用。
Gemini Code Assist。为了遵守 VPC Service Controls,请确保您使用的 IDE 或工作站 无权访问
https://www.google.com/tools/feedback/mobile
将流量消耗掉Cloud Workstations。如果您使用 Cloud Workstations,请按照 配置 VPC Service Controls 和专用 VPC 提供的 集群。
后续步骤
- 如需了解 Google Cloud 中的合规产品,请参阅 合规性资源中心。