為 Gemini 設定 VPC Service Controls

本文說明如何設定 VPC Service Controls,以支援 Google Cloud中的 AI 協作者 Gemini for Google Cloud。如要完成這項設定,請執行下列操作:

  1. 更新貴機構的服務範圍,將 Gemini 納入其中。本文假設您已在機構層級設定 service perimeter。如要進一步瞭解 service perimeter,請參閱「Service perimeter 詳細資料和設定」。

  2. 在已啟用 Gemini 存取的專案中,設定虛擬私有雲網路,封鎖輸出流量 (傳送至受限制 VIP 範圍的流量除外)。

事前準備

  1. 確認您已為使用者帳戶和專案設定 Gemini Code Assist。 Google Cloud

  2. 確認您具備設定及管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色

  3. 確認您已設定組織層級的服務安全防護範圍,可用於設定 Gemini。如果這個層級沒有服務安全防護範圍,可以建立一個

將 Gemini 新增至服務範圍

如要搭配 Gemini 使用 VPC Service Controls,請在組織層級將 Gemini 新增至 service perimeter。服務範圍必須包含您搭配 Gemini 使用的所有服務,以及要保護的其他 Google Cloud 服務。

如要在服務安全防護範圍中新增 Gemini,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

    前往 VPC Service Controls

  2. 選取您的機構。

  3. 在「VPC Service Controls」頁面上,按一下範圍名稱。

  4. 按一下「新增資源」,然後執行下列操作:

    1. 針對已啟用 Gemini 的每個專案,在「新增資源」窗格中,按一下「新增專案」,然後執行下列操作:

    2. 在「新增專案」對話方塊中,選取要新增的專案。

      如果您使用共用 VPC,請將主專案和服務專案新增至 service perimeter。

    3. 按一下「新增所選資源」。新增的專案會顯示在「Projects」(專案) 部分。

    4. 在專案的每個虛擬私有雲網路中,按一下「新增資源」窗格中的「新增虛擬私有雲網路」,然後執行下列操作:

    5. 在專案清單中,按一下包含虛擬私有雲網路的專案。

    6. 在「新增資源」對話方塊中,選取虛擬私有雲網路的核取方塊。

    7. 按一下「新增所選資源」。新增的網路會顯示在「VPC networks」(虛擬私有雲網路) 部分。

  5. 按一下「受限制的服務」,然後執行下列操作:

    1. 在「受限制的服務」窗格中,按一下「新增服務」

    2. 在「Specify services to restrict」(指定要限制的服務) 對話方塊中,選取「Gemini for Google Cloud API」和「Gemini Code Assist API」,做為要在範圍內保護的服務。

    3. 如果您打算使用程式碼自訂,請一併選取「Developer Connect API」。如要進一步瞭解 Developer Connect,請參閱「Developer Connect 總覽」。

      如要瞭解如何使用「組織政策服務」自訂限制條件,限制對 developerconnect.googleapis.com/Connectiondeveloperconnect.googleapis.com/GitRepositoryLink 執行的特定作業,請參閱「建立自訂組織政策」。

    1. 按一下「新增 n 項服務」,其中 n 是您在上一個步驟中選取的服務數量。

  6. 選用:如果開發人員需要在 IDE 的 Cloud Code 外掛程式中,使用範圍內的 Gemini,您必須設定連入政策

    為 Gemini 啟用 VPC Service Controls 後,系統會禁止從 perimeter 外部進行所有存取作業,包括從不在 perimeter 內的機器 (例如公司筆電) 執行 Gemini Code Assist IDE 擴充功能。因此,如要搭配使用 Gemini 和 Gemini Code Assist 外掛程式,請務必執行這些步驟。

    1. 按一下「輸入政策」

    2. 在「Ingress rules」(輸入規則) 窗格中,按一下「Add rule」(新增規則)

    3. 在「API 用戶端的『來源』屬性」中,指定需要存取權的 perimeter 外部來源。您可以指定專案、存取層級和虛擬私有雲網路做為來源。

    4. 在「資源/服務的 TO 屬性」 Google Cloud 中,指定 Gemini 和 Gemini Code Assist API 的服務名稱。

    如需輸入規則屬性清單,請參閱「輸入規則參考資料」。

  7. 選用:如果貴機構使用 Access Context Manager,且您想讓開發人員從 perimeter 外部存取受保護的資源,請設定存取層級:

    1. 按一下「存取層級」

    2. 在「輸入政策:存取層級」窗格中,選取「選擇存取層級」欄位。

    3. 找出要套用至 perimeter 的存取層級,然後勾選對應的核取方塊。

  8. 按一下 [儲存]

完成這些步驟後,VPC Service Controls 會檢查所有對 Gemini for Google Cloud API 的呼叫,確保這些呼叫來自同一個 perimeter。

設定虛擬私人雲端網路

您需要設定虛擬私有雲網路,讓傳送至一般 googleapis.com 虛擬 IP 的要求,自動轉送至 受限制虛擬 IP (VIP) 範圍 199.36.153.4/30 (restricted.googleapis.com),Gemini 服務會在該範圍內提供服務。您不需要變更 Gemini Code Assist IDE 擴充功能的任何設定。

對於專案中的每個虛擬私有雲網路,請依下列步驟封鎖輸出流量 (傳送至受限制 VIP 範圍的流量除外):

  1. 在代管虛擬私有雲網路資源的子網路上啟用私人 Google 存取權

  2. 設定防火牆規則,防止資料離開虛擬私有雲網路。

    1. 建立拒絕輸出規則,封鎖所有傳出流量。
    1. 建立允許輸出規則,准許流量前往 199.36.153.4/30 的 TCP 通訊埠 443。確認允許輸出規則的優先順序高於您剛建立的拒絕輸出規則,確保輸出流量只流向受限制的 VIP 範圍。

  3. 建立 Cloud DNS 回應政策

  4. 為回應政策建立規則,使用下列值將 *.googleapis.com 解析為 restricted.googleapis.com

    • DNS 名稱:*.googleapis.com.

    • 本機資料:restricted.googleapis.com.

    • 記錄類型:A

    • 存留時間:300

    • RR 資料:199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    restricted.googleapis.com 的 IP 位址範圍為 199.36.153.4/30

完成這些步驟後,來自虛擬私有雲網路的要求就無法離開虛擬私有雲網路,以防止輸出至 service perimeter 外部。這些要求只能連線至會檢查 VPC Service Controls 的 Google API 和服務,防止資料經由 Google API 遭竊。

其他設定

視你搭配 Gemini 使用的 Google Cloud 產品而定,你必須考慮下列事項:

  • 連線至周邊的用戶端電腦。VPC Service Controls 範圍內的機器可以存取所有 Gemini 體驗。您也可以從外部網路將 perimeter 延伸至授權的 Cloud VPNCloud Interconnect

  • perimeter 外部的用戶端電腦。如果用戶端電腦位於 service perimeter 外部,您可以授予受控存取權,讓使用者存取受限制的 Gemini 服務。

  • Gemini Code Assist。為遵守 VPC Service Controls 規定,請確保您使用的 IDE 或工作站無法透過防火牆政策存取 https://www.google.com/tools/feedback/mobile

  • Cloud Workstations。如果您使用 Cloud Workstations,請按照「設定 VPC Service Controls 和私人叢集」的說明操作。

後續步驟