本頁面說明如何使用輸入和輸出規則,允許虛擬私有雲網路內部 IP 位址的流量進入服務範圍。
參考架構
在下列參考架構中,Shared VPC 會在服務專案中部署 Gemini 模型,ph-fm-svc-project
(基礎模型服務專案) 則會使用下列服務政策屬性,允許已知的公開存取權存取 Vertex AI 的 Vertex AI API,以便在 Vertex AI 上使用生成式 AI:
- 單一 VPC Service Controls 範圍
- 存取層級 - 已知的外部公開端點 CIDR 範圍
- 專案定義的使用者身分
建立存取層級
Access Context Manager 可讓 Google Cloud 機構管理員依屬性定義精細的存取權限,以利控管Google Cloud中的專案和資源。管理員先定義存取權政策,這是適用於全機構的存取層級和服務範圍容器。
存取層級描述接受要求的必要需求,例如:
- 裝置類型和作業系統 (需要 Chrome Enterprise 進階版授權)
- IP 位址
- 使用者身分
在這個參考架構中,我們使用公開 IP 子網路存取層級來建立 VPC Service Controls 存取權政策。
在 Google Cloud 控制台頂端的專案選取器中,按一下「全部」分頁,然後選取您的機構。
按照「建立基本存取層級」頁面中的指示建立基本存取層級。指定下列選項:
- 在「在以下位置建立條件」下方,選擇「基本模式」。
- 在「Access level title」(存取層級標題) 欄位中輸入
corp-public-block
。 - 在「條件」部分,針對「當條件符合時,傳回」選項,選擇「TRUE」。
- 在「IP 子網路」下方,選擇「公用 IP」。
- 針對 IP 位址範圍,請指定需要存取 VPC Service Controls 範圍的外部 CIDR 範圍。
建立 VPC Service Controls 服務範圍
建立服務範圍時,除了受保護的專案外,請在建立 VPC Service Controls 範圍時指定存取層級 (IP 位址),允許範圍外使用者存取受保護的服務。在共用虛擬私有雲中使用 VPC Service Controls 時,最佳做法是建立一個包含主機和服務專案的大型範圍;如果只在範圍中選取服務專案,則屬於服務專案的網路端點會顯示在範圍之外,因為子網路與主機專案相關聯。
選取新範圍的設定類型
在本節中,您會在模擬測試模式中建立 VPC Service Controls 服務範圍。在模擬測試模式中,邊界會記錄違規行為,就好像邊界已強制執行,但不會阻止存取受限制的服務一樣。建議您在切換為強制模式前,先使用模擬模式。
在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」。
如果系統提示,請選取您的機構、資料夾或專案。
在「VPC Service Controls」頁面上,按一下「模擬測試模式」。
按一下「新增範圍」。
在「New VPC Service Perimeter」分頁的「Perimeter Name」方塊中,輸入範圍的名稱。否則,請接受預設值。
邊界名稱的長度上限為 50 個字元,開頭須為英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (_)。範圍名稱會區分大小寫,且在存取政策中不得重複。
選取要保護的資源
按一下「要保護的資源」。
如要新增您想在該範圍內保護的專案或 VPC 網路,請按照下列步驟操作:
按一下「新增資源」。
如要將專案新增至範圍,請在「Add resources」窗格中,按一下「Add project」。
如要選取專案,請在「Add projects」對話方塊中勾選該專案的核取方塊。勾選下列專案的核取方塊:
aiml-host-project
ph-fm-svc-project
按一下「新增所選資源」。新增的專案會顯示在「Projects」部分。
選取受限制的服務
在這個參考架構中,受限制的 API 範圍有限,只啟用 Gemini 所需的必要 API。不過,我們建議您在建立範圍時限制所有服務,以降低Google Cloud 服務的資料外洩風險,這也是最佳做法。
如要選取要保護的服務,請按照下列步驟操作:
按一下「受限制的服務」。
在「受限制的服務」窗格中,按一下「新增服務」。
在「Specify services to restrict」對話方塊中,選取「Vertex AI API」。
按一下「新增 Vertex AI API」。
選用:選取可透過虛擬私有雲存取的服務
「可存取的虛擬私有雲服務」設定會限制服務範圍內網路端點可存取的服務組合。在這個參考架構中,我們會保留「All Services」的預設設定。
按一下「可透過虛擬私有雲存取的服務」。
在「可透過虛擬私有雲存取的服務」窗格中,選取「所有服務」。
選取存取層級
如要允許服務範圍外的受保護資源存取要求,請按照下列步驟操作:
按一下「存取層級」。
按一下「Choose Access Level」方塊。
您也可以在建立外圍區後新增存取層級。
選取對應於
corp-public-block
存取層級的核取方塊。
輸入和輸出政策
在這個參考架構中,您不需要在「Ingress Policy」或「Egress Policy」窗格中指定任何設定。
建立範圍
完成上述設定步驟後,請按一下「建立外圍」建立外圍。
在模擬測試模式中驗證範圍
在這個參考架構中,服務範圍會在模擬測試模式下設定,讓您在未強制執行的情況下測試存取政策的效果。也就是說,您可以查看政策在啟用時對環境的影響,但不會影響合法流量。
在模擬測試模式中驗證完周界後,請切換為強制執行模式。
如要瞭解如何在模擬測試模式中驗證範圍,請參閱「VPC Service Controls 模擬測試記錄」。