为 Gemini 配置 VPC Service Controls

本文档介绍了如何在 VPC Service Controls 来支持 Google Cloud 专用 Gemini、 Google Cloud 中依托 AI 技术的协作工具。如需完成此配置,请执行以下操作:

  1. 更新贵组织的服务边界,以添加 Gemini。本文档假定您在 组织级别。如需详细了解服务边界,请参阅 服务边界详情和 配置

  2. 在已启用 Gemini 访问权限的项目中,配置 VPC 网络以阻止除流向受限 VIP 范围的流量之外的出站流量。

准备工作

  1. 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini。
  2. 确保您拥有设置和管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色

  3. 确保您在组织级别拥有 设置 Gemini 时要使用的工具。如果您在此级别没有服务边界,可以创建一个

将 Gemini 添加到您的服务边界

如需将 VPC Service Controls 与 Gemini 搭配使用,您需要在组织级别将 Gemini 添加到服务边界。服务边界必须包含您与 Gemini 搭配使用的所有服务,以及您要保护的其他 Google Cloud 服务。

如需将 Gemini 添加到您的服务边界,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. 选择您的组织。

  3. VPC Service Controls 页面上,点击边界的名称。

  4. 点击添加资源,然后执行以下操作:

    1. 对于您已启用 Gemini 的每个项目,请在添加资源窗格中点击添加项目,然后执行以下操作:

      1. 添加项目对话框中,选择要添加的项目。

        如果您使用的是共享 VPC,请将宿主项目和服务项目添加到服务边界。

      2. 点击添加所选资源。添加的项目会显示在项目部分中。

    2. 对于项目中的每个 VPC 网络,请在添加资源窗格中点击添加 VPC 网络,然后执行以下操作:

      1. 在项目列表中,点击包含 VPC 网络的项目。

      2. 添加资源对话框中,选中 VPC 网络对应的复选框。

      3. 点击添加所选资源。添加的网络会显示在 VPC 网络部分中。

  5. 点击受限服务,然后执行以下操作:

    1. 受限的服务窗格中,点击添加服务

    2. 指定要限制的服务对话框中,选择 Gemini for Google Cloud API 作为您要在边界内保护的服务。

    3. 点击添加 n 个服务,其中 n 是您在上一步中选中的服务数量。

  6. 可选:如果您的开发者需要在 Cloud Code 插件访问边界,然后 需要将 Cloud Code API 添加到受限服务列表中,并 配置入站流量政策

    为 Gemini 启用 VPC Service Controls 会阻止所有 从边界外进行访问,包括运行 Cloud Code IDE 来自外围计算机(如公司笔记本电脑)的扩展程序。 因此,如果您想将 Gemini 与 Cloud Code 插件搭配使用,则必须执行这些步骤。

    1. 受限的服务窗格中,点击添加服务

    2. 指定要限制的服务对话框中,选择 Cloud Code API 作为您要在边界内保护的服务。

    3. 点击添加 n 项服务,其中 n 是 您在上一步中选择的服务。

    4. 点击入站流量政策

    5. 入站流量规则窗格中,点击添加规则

    6. API 客户端的“来自于”属性中,指定需要访问权限的边界外来源。您可以指定项目、访问权限级别和 VPC 网络作为来源。

    7. Google Cloud 资源/服务的“至”属性中,指定 Gemini 和 Cloud Code API 的服务名称。

      有关入站规则属性的列表,请参阅入站规则 参考

  7. 可选:如果贵组织使用 Access Context Manager,并且您想要提供 开发者从边界外访问受保护的资源, 设置访问权限级别:

    1. 点击访问权限级别

    2. “入站流量政策:访问权限级别”窗格中,选择选择访问权限级别字段。

    3. 选择与要应用于边界的访问权限级别对应的复选框。

  8. 点击保存

完成这些步骤后,VPC Service Controls 会检查对 Gemini for Google Cloud API,确保它们都源自同一个 边界。

配置 VPC 网络

您需要配置 VPC 网络,使发送到常规 googleapis.com 虚拟 IP 地址的请求自动路由到受限的受限虚拟 IP (VIP) 范围和 Gemini 服务正在运行的 199.36.153.4/30 (restricted.googleapis.com)。您无需更改 Cloud Code IDE 扩展程序中的任何配置。

对于项目中的每个 VPC 网络,请按照以下步骤阻止除流向受限 VIP 地址范围的流量之外的出站流量:

  1. 在托管您的 VPC 网络资源的子网上启用专用 Google 访问通道

  2. 配置防火墙规则以阻止数据离开 VPC 网络。

    1. 创建阻止所有出站流量的拒绝出站规则。

    2. 创建一条允许流量通过 TCP 流向 199.36.153.4/30 的出站规则 端口:443。确保允许出站流量规则的优先级高于您刚刚创建的拒绝出站流量规则,从而只允许传输到受限 VIP 范围的出站流量通过。

  3. 创建 Cloud DNS 响应政策

  4. 为响应创建规则 政策*.googleapis.com解析为restricted.googleapis.com 以下值:

    • DNS 名称:*.googleapis.com.

    • 本地数据:restricted.googleapis.com.

    • 记录类型:A

    • TTL:300

    • RR 数据:199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

      restricted.googleapis.com 的 IP 地址范围为 199.36.153.4/30

在您完成这些步骤后, VPC 网络无法退出 VPC 网络, 来防止服务边界外的出站流量这些请求只会覆盖 检查 VPC Service Controls 的 Google API 和服务, 数据渗漏。

其他配置

具体取决于您通过哪款 Google Cloud 产品 Gemini,您必须考虑以下事项:

  • 连接到边界的客户端计算机。位于 VPC Service Controls 边界内的机器可以访问所有 Gemini 体验。您还可以将边界扩展到外部网络中的授权 Cloud VPNCloud Interconnect

  • 边界外的客户端计算机。如果您有位于服务边界之外的客户端计算机,则可以授予对受限 Gemini 服务的受控访问权限。

  • Gemini Code Assist。为遵守 VPC Service Controls 的要求,请确保您使用的 IDE 或工作站无法通过防火墙政策访问 https://www.google.com/tools/feedback/mobile

  • Cloud Workstations。如果您使用的是 Cloud Workstations,请按照配置 VPC Service Controls 和专用集群中的说明操作。

后续步骤