允許公開端點從 VPC Service Controls 範圍外存取受保護資源

本頁面說明如何使用輸入和輸出規則,允許虛擬私有雲網路內部 IP 位址的流量進入服務範圍。

參考架構

在下列參考架構中,Shared VPC 會在服務專案中部署 Gemini 模型,ph-fm-svc-project (基礎模型服務專案) 則會使用下列服務政策屬性,允許已知的公開存取權存取 Vertex AI 的 Vertex AI API,以便在 Vertex AI 上使用生成式 AI:

  • 單一 VPC Service Controls 範圍
  • 存取層級 - 已知的外部公開端點 CIDR 範圍
  • 專案定義的使用者身分

使用 VPC Service Controls 建立服務範圍的架構圖。

建立存取層級

Access Context Manager 可讓 Google Cloud 機構管理員依屬性定義精細的存取權限,以利控管Google Cloud中的專案和資源。管理員先定義存取權政策,這是適用於全機構的存取層級和服務範圍容器。

存取層級描述接受要求的必要需求,例如:

在這個參考架構中,我們使用公開 IP 子網路存取層級來建立 VPC Service Controls 存取權政策。

  1. 在 Google Cloud 控制台頂端的專案選取器中,按一下「全部」分頁,然後選取您的機構。

  2. 按照「建立基本存取層級」頁面中的指示建立基本存取層級。指定下列選項:

    1. 在「在以下位置建立條件」下方,選擇「基本模式」
    2. 在「Access level title」(存取層級標題) 欄位中輸入 corp-public-block
    3. 在「條件」部分,針對「當條件符合時,傳回」選項,選擇「TRUE」
    4. 在「IP 子網路」下方,選擇「公用 IP」
    5. 針對 IP 位址範圍,請指定需要存取 VPC Service Controls 範圍的外部 CIDR 範圍。

建立 VPC Service Controls 服務範圍

建立服務範圍時,除了受保護的專案外,請在建立 VPC Service Controls 範圍時指定存取層級 (IP 位址),允許範圍外使用者存取受保護的服務。在共用虛擬私有雲中使用 VPC Service Controls 時,最佳做法是建立一個包含主機和服務專案的大型範圍;如果只在範圍中選取服務專案,則屬於服務專案的網路端點會顯示在範圍之外,因為子網路與主機專案相關聯。

選取新範圍的設定類型

在本節中,您會在模擬測試模式中建立 VPC Service Controls 服務範圍。在模擬測試模式中,邊界會記錄違規行為,就好像邊界已強制執行,但不會阻止存取受限制的服務一樣。建議您在切換為強制模式前,先使用模擬模式。

  1. 在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」

    前往「VPC Service Controls」頁面

  2. 如果系統提示,請選取您的機構、資料夾或專案。

  3. 在「VPC Service Controls」頁面上,按一下「模擬測試模式」

  4. 按一下「新增範圍」

  5. 在「New VPC Service Perimeter」分頁的「Perimeter Name」方塊中,輸入範圍的名稱。否則,請接受預設值。

    邊界名稱的長度上限為 50 個字元,開頭須為英文字母,且只能包含 ASCII 拉丁字母 (a-z、A-Z)、數字 (0-9) 或底線 (_)。範圍名稱會區分大小寫,且在存取政策中不得重複。

選取要保護的資源

  1. 按一下「要保護的資源」

  2. 如要新增您想在該範圍內保護的專案或 VPC 網路,請按照下列步驟操作:

    1. 按一下「新增資源」

    2. 如要將專案新增至範圍,請在「Add resources」窗格中,按一下「Add project」

      1. 如要選取專案,請在「Add projects」對話方塊中勾選該專案的核取方塊。勾選下列專案的核取方塊:

        • aiml-host-project
        • ph-fm-svc-project
      2. 按一下「新增所選資源」。新增的專案會顯示在「Projects」部分。

選取受限制的服務

在這個參考架構中,受限制的 API 範圍有限,只啟用 Gemini 所需的必要 API。不過,我們建議您在建立範圍時限制所有服務,以降低Google Cloud 服務的資料外洩風險,這也是最佳做法。

如要選取要保護的服務,請按照下列步驟操作:

  1. 按一下「受限制的服務」

  2. 在「受限制的服務」窗格中,按一下「新增服務」

  3. 在「Specify services to restrict」對話方塊中,選取「Vertex AI API」

  4. 按一下「新增 Vertex AI API」

選用:選取可透過虛擬私有雲存取的服務

「可存取的虛擬私有雲服務」設定會限制服務範圍內網路端點可存取的服務組合。在這個參考架構中,我們會保留「All Services」的預設設定。

  1. 按一下「可透過虛擬私有雲存取的服務」

  2. 在「可透過虛擬私有雲存取的服務」窗格中,選取「所有服務」

選取存取層級

如要允許服務範圍外的受保護資源存取要求,請按照下列步驟操作:

  1. 按一下「存取層級」

  2. 按一下「Choose Access Level」方塊。

    您也可以在建立外圍區後新增存取層級

  3. 選取對應於 corp-public-block 存取層級的核取方塊。

輸入和輸出政策

在這個參考架構中,您不需要在「Ingress Policy」或「Egress Policy」窗格中指定任何設定。

建立範圍

完成上述設定步驟後,請按一下「建立外圍」建立外圍。

在模擬測試模式中驗證範圍

在這個參考架構中,服務範圍會在模擬測試模式下設定,讓您在未強制執行的情況下測試存取政策的效果。也就是說,您可以查看政策在啟用時對環境的影響,但不會影響合法流量。

在模擬測試模式中驗證完周界後,請切換為強制執行模式

如要瞭解如何在模擬測試模式中驗證範圍,請參閱「VPC Service Controls 模擬測試記錄」。