本文档介绍如何配置 VPC Service Controls 以支持 Gemini(Google Cloud 中 AI 赋能的协作工具)。如需完成此配置,请执行以下操作:
更新贵组织的服务边界以包含 Gemini。 本文档假定您已在组织级层拥有服务边界。如需详细了解服务边界,请参阅服务边界详情和配置。
在已启用对 Gemini 的访问权限的项目中,配置 VPC 网络以阻止出站流量(流向受限 VIP 范围的流量除外)。
准备工作
- 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini。
确保您拥有设置和管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。
确保您在组织级别拥有可用于设置 Gemini 的服务边界。如果您没有此级层的服务边界,则可以创建一个。
将 Gemini 添加到您的服务边界
如需将 VPC Service Controls 与 Gemini 搭配使用,请将 Gemini 添加到组织级别的服务边界。该服务边界必须包含用于 Gemini 的所有服务以及要保护的其他 Google Cloud 服务。
要将 Gemini 添加到您的服务边界,请按以下步骤操作:
在 Google Cloud 控制台中,转到 VPC Service Controls 页面。
选择您的组织。
在 VPC Service Controls 页面上,点击边界的名称。
点击添加资源并执行以下操作:
对于已启用 Gemini 的每个项目,在添加资源窗格中,点击添加项目,然后执行以下操作:
在添加项目对话框中,选择要添加的项目。
如果您使用的是共享 VPC,请将宿主项目和服务项目添加到服务边界。
点击添加所选资源。已添加的项目会显示在项目部分中。
对于项目中的每个 VPC 网络,请在添加资源窗格中点击添加 VPC 网络,然后执行以下操作:
在项目列表中,点击包含 VPC 网络的项目。
在添加资源对话框中,选中 VPC 网络对应的复选框。
点击添加所选资源。添加的网络会显示在 VPC 网络部分。
点击受限服务,然后执行以下操作:
在受限的服务窗格中,点击添加服务。
在指定要限制的服务对话框中,选择 Cloud AI Companion API 作为要在边界内保护的服务。
点击添加 n 项服务,其中 n 是您在上一步中选择的服务数量。
可选:如果您的开发者需要通过其 IDE 中的 Cloud Code 插件在边界内使用 Gemini,那么您需要将 Cloud Code API 添加到受限服务列表中并配置入站流量政策。
为 Gemini 启用 VPC Service Controls 会阻止从边界外的所有访问,包括从不在边界内的机器(例如公司的笔记本电脑)运行 Cloud Code IDE 扩展程序。 因此,如果您想将 Gemini 与 Cloud Code 插件搭配使用,则必须执行以下步骤。
在受限的服务窗格中,点击添加服务。
在指定要限制的服务对话框中,选择 Cloud Code API 作为要在边界内保护的服务。
点击添加 n 项服务,其中 n 是您在上一步中选择的服务数量。
点击入站流量政策。
在入站流量规则窗格中,点击添加规则。
在通过 API 客户端的属性中,指定需要访问的边界外的来源。您可以将项目、访问权限级别和 VPC 网络指定为来源。
在 Google Cloud 资源/服务的特性中,指定 Gemini 和 Cloud Code API 的服务名称。
如需查看入站流量规则属性列表,请参阅入站流量规则参考文档。
可选:如果贵组织使用 Access Context Manager,并且您希望允许开发者从边界外访问受保护的资源,请设置访问权限级别:
点击访问权限级别。
在入站流量政策:访问权限级别窗格中,选择选择访问权限级别字段。
选中与要应用于边界的访问权限级别对应的复选框。
点击保存。
完成这些步骤后,VPC Service Controls 会检查对 Cloud AI Companion API 的所有调用,以确保这些调用都来自同一边界。
配置 VPC 网络
您需要配置 VPC 网络,将发送到常规 googleapis.com
虚拟 IP 的请求自动路由到您的 Gemini 服务所服务的受限虚拟 IP (VIP) 范围 199.36.153.4/30
(restricted.googleapis.com
)。您无需在 Cloud Code IDE 扩展程序中更改任何配置。
对于项目中的每个 VPC 网络,请按照以下步骤阻止除流向受限 VIP 范围的流量之外的出站流量:
对托管您的 VPC 网络资源的子网启用专用 Google 访问通道。
配置防火墙规则以防止数据离开 VPC 网络。
创建阻止所有出站流量的拒绝出站规则。
创建一条允许出站流量规则,以允许流量流向 TCP 端口
443
上的199.36.153.4/30
。确保允许出站规则的优先级高于您刚刚创建的拒绝出站规则,这样就仅允许流向受限 VIP 范围的出站流量。
为响应政策创建规则,使用以下值将
*.googleapis.com
解析为restricted.googleapis.com
:DNS 名称:
*.googleapis.com.
本地数据:
restricted.googleapis.com.
记录类型:
A
TTL:
300
RR 数据:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
restricted.googleapis.com
的 IP 地址范围为199.36.153.4/30
。
完成这些步骤后,源自 VPC 网络内部的请求无法离开 VPC 网络,从而阻止了服务边界以外的出站流量。这些请求只能访问可检查 VPC Service Controls 的 Google API 和服务,以防止通过 Google API 渗漏数据。
其他配置
根据您与 Gemini 搭配使用的 Google Cloud 产品,您必须考虑以下事项:
连接到边界的客户端机器。VPC Service Controls 边界内的机器可以访问所有 Gemini 体验。您还可以从外部网络将边界扩展到已获授权的 Cloud VPN 或 Cloud Interconnect。
位于边界外的客户端机器。如果您的客户端机器位于服务边界外,您可以授予对受限 Gemini 服务的受控访问权限。
如需了解详情,请参阅允许从边界外访问受保护的资源。
如需查看如何在企业网络上创建访问权限级别的示例,请参阅限制对企业网络的访问权限。
查看将 VPC Service Controls 与 Gemini 搭配使用时的限制。
Gemini Code Assist。为符合 VPC Service Controls 规范,请确保您使用的 IDE 或工作站无法通过防火墙政策访问
https://www.google.com/tools/feedback/mobile
。Cloud Workstations。如果您使用 Cloud Workstations 工作站,请按照配置 VPC Service Controls 和专用集群中的说明操作。
后续步骤
- 如需了解 Google Cloud 中的合规性产品,请参阅合规性资源中心。