为 Gemini 配置 VPC Service Controls

本文档介绍如何配置 VPC Service Controls 以支持 Gemini（Google Cloud 中 AI 赋能的协作工具）。如需完成此配置，请执行以下操作：

1. 更新贵组织的服务边界以包含 Gemini。 本文档假定您已在组织级层拥有服务边界。如需详细了解服务边界，请参阅服务边界详情和配置。

2. 在已启用对 Gemini 的访问权限的项目中，配置 VPC 网络以阻止出站流量（流向受限 VIP 范围的流量除外）。

准备工作

1. 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini。

2. 确保您拥有设置和管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。

3. 确保您在组织级别拥有可用于设置 Gemini 的服务边界。如果您没有此级层的服务边界，则可以创建一个。

将 Gemini 添加到您的服务边界

如需将 VPC Service Controls 与 Gemini 搭配使用，请将 Gemini 添加到组织级别的服务边界。该服务边界必须包含用于 Gemini 的所有服务以及要保护的其他 Google Cloud 服务。

要将 Gemini 添加到您的服务边界，请按以下步骤操作：

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

2. 选择您的组织。

3. 在 VPC Service Controls 页面上，点击边界的名称。

4. 点击添加资源并执行以下操作：

   1. 对于已启用 Gemini 的每个项目，在添加资源窗格中，点击添加项目，然后执行以下操作：

      1. 在添加项目对话框中，选择要添加的项目。

         如果您使用的是共享 VPC，请将宿主项目和服务项目添加到服务边界。

      2. 点击添加所选资源。已添加的项目会显示在项目部分中。

   2. 对于项目中的每个 VPC 网络，请在添加资源窗格中点击添加 VPC 网络，然后执行以下操作：

      1. 在项目列表中，点击包含 VPC 网络的项目。

      2. 在添加资源对话框中，选中 VPC 网络对应的复选框。

      3. 点击添加所选资源。添加的网络会显示在 VPC 网络部分。

5. 点击受限服务，然后执行以下操作：

   1. 在受限的服务窗格中，点击添加服务。

   2. 在指定要限制的服务对话框中，选择 Cloud AI Companion API 作为要在边界内保护的服务。

   3. 点击添加 n 项服务，其中 n 是您在上一步中选择的服务数量。

6. 可选：如果您的开发者需要通过其 IDE 中的 Cloud Code 插件在边界内使用 Gemini，那么您需要将 Cloud Code API 添加到受限服务列表中并配置入站流量政策。

   为 Gemini 启用 VPC Service Controls 会阻止从边界外的所有访问，包括从不在边界内的机器（例如公司的笔记本电脑）运行 Cloud Code IDE 扩展程序。 因此，如果您想将 Gemini 与 Cloud Code 插件搭配使用，则必须执行以下步骤。

   1. 在受限的服务窗格中，点击添加服务。

   2. 在指定要限制的服务对话框中，选择 Cloud Code API 作为要在边界内保护的服务。

   3. 点击添加 n 项服务，其中 n 是您在上一步中选择的服务数量。

   4. 点击入站流量政策。

   5. 在入站流量规则窗格中，点击添加规则。

   6. 在通过 API 客户端的属性中，指定需要访问的边界外的来源。您可以将项目、访问权限级别和 VPC 网络指定为来源。

   7. 在 Google Cloud 资源/服务的特性中，指定 Gemini 和 Cloud Code API 的服务名称。

      如需查看入站流量规则属性列表，请参阅入站流量规则参考文档。

7. 可选：如果贵组织使用 Access Context Manager，并且您希望允许开发者从边界外访问受保护的资源，请设置访问权限级别：

   1. 点击访问权限级别。

   2. 在入站流量政策：访问权限级别窗格中，选择选择访问权限级别字段。

   3. 选中与要应用于边界的访问权限级别对应的复选框。

8. 点击保存。

完成这些步骤后，VPC Service Controls 会检查对 Cloud AI Companion API 的所有调用，以确保这些调用都来自同一边界。

配置 VPC 网络

您需要配置 VPC 网络，将发送到常规 googleapis.com 虚拟 IP 的请求自动路由到您的 Gemini 服务所服务的受限虚拟 IP (VIP) 范围 199.36.153.4/30 (restricted.googleapis.com)。您无需在 Cloud Code IDE 扩展程序中更改任何配置。

对于项目中的每个 VPC 网络，请按照以下步骤阻止除流向受限 VIP 范围的流量之外的出站流量：

1. 对托管您的 VPC 网络资源的子网启用专用 Google 访问通道。

2. 配置防火墙规则以防止数据离开 VPC 网络。

   1. 创建阻止所有出站流量的拒绝出站规则。

   2. 创建一条允许出站流量规则，以允许流量流向 TCP 端口 443 上的 199.36.153.4/30。确保允许出站规则的优先级高于您刚刚创建的拒绝出站规则，这样就仅允许流向受限 VIP 范围的出站流量。

3. 创建 Cloud DNS 响应政策。

4. 为响应政策创建规则，使用以下值将 *.googleapis.com 解析为 restricted.googleapis.com：

   • DNS 名称：*.googleapis.com.

   • 本地数据：restricted.googleapis.com.

   • 记录类型：A

   • TTL：300

   • RR 数据：199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

     restricted.googleapis.com 的 IP 地址范围为 199.36.153.4/30。

完成这些步骤后，源自 VPC 网络内部的请求无法离开 VPC 网络，从而阻止了服务边界以外的出站流量。这些请求只能访问可检查 VPC Service Controls 的 Google API 和服务，以防止通过 Google API 渗漏数据。

其他配置

根据您与 Gemini 搭配使用的 Google Cloud 产品，您必须考虑以下事项：

• 连接到边界的客户端机器。VPC Service Controls 边界内的机器可以访问所有 Gemini 体验。您还可以从外部网络将边界扩展到已获授权的 Cloud VPN 或 Cloud Interconnect。

• 位于边界外的客户端机器。如果您的客户端机器位于服务边界外，您可以授予对受限 Gemini 服务的受控访问权限。

  • 如需了解详情，请参阅允许从边界外访问受保护的资源。

  • 如需查看如何在企业网络上创建访问权限级别的示例，请参阅限制对企业网络的访问权限。

  • 查看将 VPC Service Controls 与 Gemini 搭配使用时的限制。

• Gemini Code Assist。为符合 VPC Service Controls 规范，请确保您使用的 IDE 或工作站无法通过防火墙政策访问 https://www.google.com/tools/feedback/mobile。

• Cloud Workstations。如果您使用 Cloud Workstations 工作站，请按照配置 VPC Service Controls 和专用集群中的说明操作。

后续步骤

• 如需了解 Google Cloud 中的合规性产品，请参阅合规性资源中心。