为 Gemini 配置 VPC Service Controls

本文档介绍了如何配置 VPC Service Controls 以支持 Google Cloud 专用 Gemini，这是一种依托 AI 技术的协作工具。如需完成此配置，请执行以下操作：

1. 更新组织的服务边界以添加 Gemini。本文档假定您已在组织级别创建了服务边界。如需详细了解服务边界，请参阅服务边界详情和配置。

2. 在已启用 Gemini 访问权限的项目中，配置 VPC 网络以阻止除流向受限 VIP 范围的流量之外的出站流量。

准备工作

1. 确保已为您的 Google Cloud 用户账号和项目设置了 Gemini Code Assist。

2. 确保您拥有设置和管理 VPC Service Controls 所需的 Identity and Access Management (IAM) 角色。

3. 确保您在组织级层有一个可用于设置 Gemini 的服务边界。如果您在此级别没有服务边界，可以创建一个。

将 Gemini 添加到服务边界

如需将 VPC Service Controls 与 Gemini 搭配使用，您需要在组织级将 Gemini 添加到服务边界。服务边界必须包含您与 Gemini 搭配使用的所有服务，以及您要保护的其他 Google Cloud 服务。

如需将 Gemini 添加到您的服务边界，请按以下步骤操作：

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

2. 选择您的组织。

3. 在 VPC Service Controls 页面上，点击边界的名称。

4. 点击添加资源，然后执行以下操作：

   1. 对于您已启用 Gemini 的每个项目，请在添加资源窗格中点击添加项目，然后执行以下操作：

   2. 在添加项目对话框中，选择要添加的项目。

      If you're using [Shared VPC](/vpc/docs/shared-vpc), add the
      

      宿主项目和服务项目到服务边界。

   3. 点击添加所选资源。添加的项目会显示在项目部分中。

   4. 对于项目中的每个 VPC 网络，请在添加资源窗格中点击添加 VPC 网络，然后执行以下操作：

   5. 在项目列表中，点击包含 VPC 网络的项目。

   6. 在添加资源对话框中，选中 VPC 网络的复选框。

   7. 点击添加所选资源。添加的网络会显示在 VPC 网络部分中。

5. 点击受限的服务，然后执行以下操作：

   1. 在受限的服务窗格中，点击添加服务。

   2. 在指定要限制的服务对话框中，选择 Gemini for Google Cloud API 和 Gemini Code Assist API 作为您要在边界内保护的服务。

   1. 点击添加 n 个服务，其中 n 是您在上一步中选中的服务数量。

6. 可选：如果您的开发者需要在其 IDE 中的 Cloud Code 插件内使用 Gemini，则需要配置入站政策。

   为 Gemini 启用 VPC Service Controls 可防止从边界外进行所有访问，包括从不在边界内的机器（如公司笔记本电脑）运行 Gemini Code Assist IDE 扩展程序。因此，如果您想将 Gemini 与 Gemini Code Assist 插件搭配使用，则必须执行这些步骤。

   1. 点击入站流量政策。

   2. 在入站流量规则窗格中，点击添加规则。

   3. 在 API 客户端的“来自于”属性中，指定需要访问权限的边界外来源。您可以将项目、访问权限级别和 VPC 网络指定为来源。

   4. 在 Google Cloud 资源/服务的“至”属性中，指定 Gemini 和 Gemini Code Assist API 的服务名称。

   如需查看入站规则属性的列表，请参阅入站规则参考。

7. 可选：如果贵组织使用 Access Context Manager，并且您希望向开发者授予从边界外访问受保护资源的权限，请设置访问权限级别：

   1. 点击访问权限级别。

   2. 在“入站流量政策：访问权限级别”窗格中，选择选择访问权限级别字段。

   3. 选择与要应用于边界的访问权限级别对应的复选框。

8. 点击保存。

完成这些步骤后，VPC Service Controls 会检查对 Gemini for Google Cloud API 的所有调用，以确保它们源自同一边界内。

配置 VPC 网络

您需要配置 VPC 网络，使发送到常规 googleapis.com 虚拟 IP 地址的请求自动路由到受限的受限虚拟 IP (VIP) 范围和 Gemini 服务正在运行的 199.36.153.4/30 (restricted.googleapis.com)。您无需更改 Gemini Code Assist IDE 扩展程序中的任何配置。

对于项目中的每个 VPC 网络，请按照以下步骤阻止除流向受限 VIP 地址范围的流量之外的出站流量：

1. 在托管您的 VPC 网络资源的子网上启用专用 Google 访问通道。

2. 配置防火墙规则以阻止数据离开 VPC 网络。

   1. 创建阻止所有出站流量的拒绝出站规则。
   1. 创建一条允许传输到 TCP 端口 443 上的 199.36.153.4/30 的出站规则。确保允许出站流量规则的优先级高于您刚刚创建的拒绝出站流量规则，从而只允许传输到受限 VIP 范围的出站流量通过。

3. 创建 Cloud DNS 响应政策。

4. 为响应政策创建规则，使用以下值将 *.googleapis.com 解析为 restricted.googleapis.com：

   • DNS 名称：*.googleapis.com.

   • 本地数据：restricted.googleapis.com.

   • 记录类型：A

   • TTL：300

   • RR 数据：199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   restricted.googleapis.com 的 IP 地址范围为 199.36.153.4/30。

完成这些步骤后，源自 VPC 网络内的请求将无法离开 VPC 网络，从而阻止服务边界以外的出站流量。这些请求只能访问符合 VPC Service Controls 规范的 Google API 和服务，防止通过 Google API 渗漏数据。

其他配置

根据您与 Gemini 搭配使用的 Google Cloud 产品，您必须考虑以下事项：

• 连接到边界的客户端计算机。位于 VPC Service Controls 边界内的机器可以访问所有 Gemini 体验。您还可以将边界扩展到外部网络中的授权 Cloud VPN 或 Cloud Interconnect。

• 边界外的客户端计算机。如果您有位于服务边界之外的客户端计算机，则可以授予对受限 Gemini 服务的受控访问权限。

  • 如需了解详情，请参阅允许从边界外访问受保护的资源。

  • 如需查看如何在公司网络上创建访问权限级别的示例，请参阅限制公司网络上的访问权限。

  • 查看将 VPC Service Controls 与 Gemini 搭配使用时的限制。

• Gemini Code Assist。为遵守 VPC Service Controls 的要求，请确保您使用的 IDE 或工作站无法通过防火墙政策访问 https://www.google.com/tools/feedback/mobile。

• Cloud Workstations。如果您使用的是 Cloud Workstations，请按照配置 VPC Service Controls 和专用集群中的说明操作。

后续步骤

• 如需了解 Google Cloud 中的合规产品和服务，请参阅合规性资源中心。