允许从 VPC Service Controls 边界外通过公共端点访问受保护的资源

本页面介绍了如何使用入站流量和出站流量规则允许 VPC 网络中内部 IP 地址的流量进入服务边界。

参考架构

在以下参考架构中,我们在服务项目 ph-fm-svc-project(基础模型服务项目)中部署了包含 Gemini 模型的共享 VPC,并配置了以下服务政策属性,允许对 Vertex AI API 进行身份明确的公开访问以使用 Vertex AI 上的生成式 AI:

  • 单个 VPC Service Controls 边界
  • 访问权限级别 - 身份明确的外部公共端点 CIDR 范围
  • 项目定义的用户身份

使用 VPC Service Controls 创建服务边界的架构图。

创建访问权限级别

Access Context Manager 允许 Google Cloud 组织管理员为Google Cloud中的项目和资源定义基于属性的精细访问权限控制。管理员首先定义一个访问权限政策,这是组织范围内的访问权限级别和服务边界容器。

访问权限级别说明了请求得以执行所需满足的要求。例如:

在此参考架构中,公共 IP 子网访问权限级别用于构建 VPC Service Controls 访问权限政策。

  1. 在 Google Cloud 控制台顶部的项目选择器中,点击全部标签页,然后选择您的组织。

  2. 按照创建基本访问权限级别页面中的说明创建基本访问权限级别。指定以下选项:

    1. 使用以下模式创建条件下,选择基本模式
    2. 访问权限级别标题字段中,输入 corp-public-block
    3. 条件部分,对于满足条件时返回选项,选择 TRUE
    4. IP 子网下,选择公共 IP
    5. 对于 IP 地址范围,指定需要访问 VPC Service Controls 边界的外部 CIDR 范围。

构建 VPC Service Controls 服务边界

创建服务边界时,除了允许受保护的项目对其进行访问之外,还可以在创建 VPC Service Controls 边界时指定访问权限级别(IP 地址),来允许从边界外访问受保护的服务。将 VPC Service Controls 与共享 VPC 搭配使用时,最佳实践是创建一个包含宿主项目和服务项目的大型边界;如果仅将服务项目纳入边界,则意味着属于服务项目的网络端点会显示在边界之外,因为子网是与宿主项目关联的。

选择新边界的配置类型

在本部分中,您将以试运行模式创建 VPC Service Controls 服务边界。在试运行模式下,服务边界会像强制执行时一样记录违规行为,但并不会阻止对受限服务的访问。建议的最佳实践是在切换到强制执行模式之前先使用试运行模式。

  1. 在 Google Cloud 控制台导航菜单中,点击安全,然后点击 VPC Service Controls

    前往 VPC Service Controls 页面

  2. 如果出现提示,请选择您的组织、文件夹或项目。

  3. VPC Service Controls 页面上,点击试运行模式

  4. 点击新建边界

  5. 新建 VPC 服务边界标签页的边界名称框中,为边界输入一个名称。否则,请接受默认值。

    边界名称的最大长度为 50 个字符,必须以字母开头,并且只能包含 ASCII 拉丁字母(a-z、A-Z)、数字 (0-9) 或下划线 (_)。边界名称区分大小写,并且在一个访问权限政策中必须是唯一的。

选择要保护的资源

  1. 点击要保护的资源

  2. 如需添加您要在边界内保护的项目或 VPC 网络,请执行以下操作:

    1. 点击添加资源

    2. 如需将项目添加到边界中,请在添加资源窗格中,点击添加项目

      1. 如需选择项目,请在添加项目对话框中选中相应项目的复选框。选中以下项目对应的复选框:

        • aiml-host-project
        • ph-fm-svc-project

      2. 点击添加所选资源。添加的项目会显示在项目部分中。

选择受限服务

在此参考架构中,受限 API 的范围仅限于 Gemini 所需的必要 API。不过,作为一项最佳实践,我们建议您在创建边界时对所有服务施加限制,以降低Google Cloud 服务发生数据渗漏的风险。

如需选择要在边界内保护的服务,请执行以下操作:

  1. 点击受限的服务

  2. 受限的服务窗格中,点击添加服务

  3. 指定要限制的服务对话框中,选择 Vertex AI API

  4. 点击添加 Vertex AI API

可选:选择 VPC 可访问的服务

VPC 可访问的服务这项设置可限制能够从您的服务边界内的网络端点访问哪些服务。在此参考架构中,我们保留了所有服务这项默认设置。

  1. 点击 VPC 可访问服务

  2. VPC 可访问的服务窗格中,选择所有服务

选择访问权限级别

如需允许从边界外访问受保护的资源,请执行以下操作:

  1. 点击访问权限级别

  2. 点击选择访问权限级别框。

    您也可以在创建边界后添加访问权限级别

  3. 选中与 corp-public-block 访问权限级别对应的复选框。

入站和出站政策

在此参考架构中,无需在入站政策出站政策窗格中指定任何设置。

创建边界

完成上述配置步骤后,点击创建边界来创建边界。

在试运行模式下验证边界

在此参考架构中,服务边界被配置为试运行模式,可让您在不强制执行的情况下测试访问权限政策的效果。这意味着,您可以了解政策在有效状态下会对环境产生何种影响,但又不会有中断合法流量的风险。

在试运行模式下验证边界后,便可将其切换为强制执行模式

如需了解如何在试运行模式下验证边界,请参阅 VPC Service Controls 试运行日志记录