กำหนดค่าการควบคุมบริการ VPC สำหรับ Gemini

เอกสารนี้แสดงวิธีกำหนดค่า การควบคุมบริการ VPC เพื่อ รองรับ Gemini ซึ่งเป็นผู้ช่วยที่ทำงานด้วยระบบ AI ใน Google Cloud หากต้องการทำการกำหนดค่านี้ให้เสร็จสมบูรณ์ ให้ทำดังนี้

  1. อัปเดตขอบเขตบริการขององค์กรให้รวม Gemini เอกสารนี้จะถือว่าคุณมีขอบเขตบริการในระดับองค์กรอยู่แล้ว ดูข้อมูลเพิ่มเติมเกี่ยวกับ ขอบเขตบริการได้ที่ รายละเอียดและการกำหนดค่า ขอบเขตบริการ

  2. ในโปรเจ็กต์ที่คุณเปิดใช้การเข้าถึง Gemini ให้กำหนดค่าเครือข่าย VPC เพื่อบล็อกการรับส่งข้อมูลขาออก ยกเว้นการรับส่งข้อมูลไปยังช่วง VIP ที่จำกัด

ก่อนเริ่มต้น

  1. ตรวจสอบว่าได้ตั้งค่า Gemini Code Assist สำหรับบัญชีผู้ใช้ Google Cloud และโปรเจ็กต์ของคุณแล้ว

  2. ตรวจสอบว่าคุณมี บทบาท Identity and Access Management ที่จำเป็น ในการตั้งค่าและดูแลระบบการควบคุมบริการ VPC

  3. ตรวจสอบว่าคุณมีขอบเขตบริการในระดับองค์กรที่ใช้ตั้งค่า Gemini ได้ หากไม่มีขอบเขตบริการในระดับนี้ คุณสามารถ สร้างขอบเขตบริการได้

เพิ่ม Gemini ลงในขอบเขตบริการ

หากต้องการใช้การควบคุมบริการ VPC กับ Gemini ให้เพิ่ม Gemini ลงในขอบเขตบริการในระดับองค์กร ขอบเขตบริการต้องรวมบริการทั้งหมดที่คุณใช้กับ Gemini และบริการอื่นๆ ของ Google Cloud ที่คุณต้องการปกป้อง

หากต้องการเพิ่ม Gemini ลงในขอบเขตบริการ ให้ทำตามขั้นตอนต่อไปนี้

  1. ในคอนโซล Google Cloud ให้ไปที่หน้าการควบคุมบริการ VPC

    ไปที่การควบคุมบริการ VPC

  2. เลือกองค์กร

  3. ในหน้าการควบคุมบริการ VPC ให้คลิกชื่อขอบเขต

  4. คลิกเพิ่มทรัพยากร แล้วทำดังนี้

    1. สำหรับแต่ละโปรเจ็กต์ที่คุณเปิดใช้ Gemini ใน บานหน้าต่าง เพิ่มทรัพยากร ให้คลิก เพิ่มโปรเจ็กต์ แล้วทำดังนี้

    2. ในกล่องโต้ตอบเพิ่มโปรเจ็กต์ ให้เลือกโปรเจ็กต์ที่ต้องการเพิ่ม

      หากคุณใช้ VPC ที่แชร์ ให้เพิ่มโปรเจ็กต์โฮสต์ และโปรเจ็กต์บริการลงในขอบเขตบริการ

    3. คลิกเพิ่มทรัพยากรที่เลือก โปรเจ็กต์ที่เพิ่มจะปรากฏในส่วนโปรเจ็กต์

    4. สำหรับแต่ละเครือข่าย VPC ในโปรเจ็กต์ ในบานหน้าต่างAdd resources ให้คลิกAdd VPC network แล้วทำดังนี้

    5. จากรายการโปรเจ็กต์ ให้คลิกโปรเจ็กต์ที่มีเครือข่าย VPC

    6. ในกล่องโต้ตอบเพิ่มทรัพยากร ให้เลือกช่องทำเครื่องหมายของเครือข่าย VPC

    7. คลิกเพิ่มทรัพยากรที่เลือก เครือข่ายที่เพิ่มจะปรากฏในส่วนเครือข่าย VPC

  5. คลิกบริการที่จำกัด แล้วทำดังนี้

    1. ในบานหน้าต่างบริการที่จำกัด ให้คลิกเพิ่มบริการ

    2. ในกล่องโต้ตอบระบุบริการที่จะจำกัด ให้เลือก Gemini for Google Cloud API และ Gemini Code Assist API เป็นบริการที่ต้องการรักษาความปลอดภัยภายในขอบเขต

    3. หากวางแผนที่จะใช้ การปรับแต่งโค้ด, ให้เลือก Developer Connect API ด้วย ดูข้อมูลเพิ่มเติมเกี่ยวกับ Developer Connect ได้ที่ ภาพรวมของ Developer Connect

      ดูวิธีใช้ข้อจำกัดที่กำหนดเองของบริการนโยบายองค์กรเพื่อจำกัด การดำเนินการที่เฉพาะเจาะจงใน developerconnect.googleapis.com/Connection และ developerconnect.googleapis.com/GitRepositoryLink ได้ที่ สร้างนโยบายองค์กรที่กำหนดเอง

    1. คลิกเพิ่มบริการ n รายการ โดยที่ n คือจำนวน บริการที่คุณเลือกในขั้นตอนก่อนหน้า

  6. ไม่บังคับ: หากนักพัฒนาซอฟต์แวร์จำเป็นต้องใช้ Gemini ภายใน ขอบเขตจากปลั๊กอิน Cloud Code ใน IDE ของตน คุณจะต้อง กำหนดค่า นโยบายข้อมูลขาเข้า

    การเปิดใช้การควบคุมบริการ VPC สำหรับ Gemini จะป้องกันการเข้าถึงทั้งหมดจากภายนอกขอบเขต รวมถึงการเรียกใช้ส่วนขยาย Gemini Code Assist IDE จากเครื่องที่ไม่อยู่ในขอบเขต เช่น แล็ปท็อปของบริษัท ดังนั้น คุณต้องทำตามขั้นตอนเหล่านี้หากต้องการใช้ Gemini กับปลั๊กอิน Gemini Code Assist

    1. คลิกนโยบายข้อมูลขาเข้า

    2. ในบานหน้าต่างกฎข้อมูลขาเข้า ให้คลิกเพิ่มกฎ

    3. ในแอตทริบิวต์ FROM ของไคลเอ็นต์ API ให้ระบุแหล่งที่มาจาก ภายนอกขอบเขตที่ต้องเข้าถึง คุณสามารถระบุโปรเจ็กต์ ระดับการเข้าถึง และเครือข่าย VPC เป็นแหล่งที่มาได้

    4. ในแอตทริบิวต์ TO ของทรัพยากร/บริการ Google Cloud ให้ระบุ ชื่อบริการของ Gemini และ Gemini Code Assist API

    ดูรายการแอตทริบิวต์กฎข้อมูลขาเข้าได้ที่ ข้อมูลอ้างอิงกฎข้อมูลขาเข้า

  7. ไม่บังคับ: หากองค์กรของคุณใช้ เครื่องมือจัดการสิทธิ์เข้าถึงตามบริบท และคุณต้องการ ให้นักพัฒนาซอฟต์แวร์เข้าถึงทรัพยากรที่มีการป้องกันจากภายนอกขอบเขต ให้ตั้งค่าระดับการเข้าถึงดังนี้

    1. คลิกระดับการเข้าถึง

    2. ในบานหน้าต่างนโยบายข้อมูลขาเข้า: ระดับการเข้าถึง ให้เลือกช่องเลือกระดับการเข้าถึง

    3. เลือกช่องทำเครื่องหมายที่สอดคล้องกับระดับการเข้าถึงที่ต้องการใช้กับขอบเขต

  8. คลิกบันทึก

หลังจากทำตามขั้นตอนเหล่านี้แล้ว การควบคุมบริการ VPC จะตรวจสอบการเรียกทั้งหมดไปยัง Gemini for Google Cloud API เพื่อให้แน่ใจว่าการเรียกเหล่านั้นมาจากภายในขอบเขตเดียวกัน

กำหนดค่าเครือข่าย VPC

คุณต้องกำหนดค่าเครือข่าย VPC เพื่อให้คำขอที่ส่ง ไปยัง IP เสมือน googleapis.com ปกติถูกกำหนดเส้นทางไปยัง ช่วง IP เสมือน (VIP) ที่จำกัด, 199.36.153.4/30 (restricted.googleapis.com) โดยอัตโนมัติ ซึ่งเป็นที่ที่บริการ Gemini ทำงานอยู่ คุณไม่จำเป็นต้องเปลี่ยนการกำหนดค่าใดๆ ในส่วนขยาย Gemini Code Assist IDE

สำหรับแต่ละเครือข่าย VPC ในโปรเจ็กต์ ให้ทำตามขั้นตอนต่อไปนี้เพื่อบล็อกการรับส่งข้อมูลขาออก ยกเว้นการรับส่งข้อมูลไปยังช่วง VIP ที่จำกัด

  1. เปิดใช้การเข้าถึง Google แบบส่วนตัว ในซับเน็ตที่โฮสต์ทรัพยากรเครือข่าย VPC

  2. กำหนดค่ากฎไฟร์วอลล์ เพื่อป้องกันไม่ให้ข้อมูลออกจากเครือข่าย VPC

    1. สร้างกฎการปฏิเสธข้อมูลขาออกที่บล็อกการรับส่งข้อมูลขาออกทั้งหมด
    1. สร้างกฎการอนุญาตข้อมูลขาออกที่อนุญาตการรับส่งข้อมูลไปยัง 199.36.153.4/30 ในพอร์ต TCP 443 ตรวจสอบว่ากฎการอนุญาตข้อมูลขาออกมีลำดับความสำคัญก่อนกฎการปฏิเสธข้อมูลขาออกที่คุณเพิ่งสร้าง ซึ่งจะอนุญาตข้อมูลขาออกไปยังช่วง VIP ที่จำกัดเท่านั้น

  3. สร้างนโยบายการตอบกลับของ Cloud DNS

  4. สร้างกฎสำหรับนโยบายการตอบกลับ เพื่อแก้ปัญหา *.googleapis.com เป็น restricted.googleapis.com ด้วย ค่าต่อไปนี้:

    • ชื่อ DNS: *.googleapis.com.

    • ข้อมูลผลิตภัณฑ์ในพื้นที่: restricted.googleapis.com.

    • ประเภทระเบียน: A

    • TTL: 300

    • ข้อมูล RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    ช่วงที่อยู่ IP สำหรับ restricted.googleapis.com คือ 199.36.153.4/30

หลังจากทำตามขั้นตอนเหล่านี้แล้ว คำขอที่มาจากภายในเครือข่าย VPC จะออกจากเครือข่าย VPC ไม่ได้ ซึ่งจะป้องกันข้อมูลขาออกนอกขอบเขตบริการ คำขอเหล่านี้จะเข้าถึงได้เฉพาะ Google API และบริการที่ตรวจสอบการควบคุมบริการ VPC ซึ่งจะป้องกันการขโมยข้อมูลผ่าน Google API

การกำหนดค่าเพิ่มเติม

คุณต้องพิจารณาสิ่งต่อไปนี้ ทั้งนี้ขึ้นอยู่กับผลิตภัณฑ์ของ Google Cloud ที่คุณใช้กับ Gemini

ขั้นตอนถัดไป