Tài liệu này trình bày cách định cấu hình VPC Service Controls để hỗ trợ Gemini, một cộng tác viên dựa trên AI trong Google Cloud. Để hoàn tất cấu hình này, hãy làm như sau:
Cập nhật phạm vi dịch vụ của tổ chức để bao gồm Gemini. Tài liệu này giả định rằng bạn đã có một ranh giới dịch vụ ở cấp tổ chức. Để biết thêm thông tin về chu vi dịch vụ, hãy xem bài viết Thông tin chi tiết và cấu hình về chu vi dịch vụ.
Trong các dự án mà bạn đã bật quyền truy cập vào Gemini, hãy định cấu hình mạng VPC để chặn lưu lượng truy cập đi, ngoại trừ lưu lượng truy cập đến dải VIP bị hạn chế.
Trước khi bắt đầu
Đảm bảo bạn có các vai trò Quản lý danh tính và quyền truy cập bắt buộc để thiết lập và quản trị giải pháp VPC Service Controls.
Đảm bảo rằng bạn có một ranh giới dịch vụ ở cấp tổ chức mà bạn có thể dùng để thiết lập Gemini. Nếu không có ranh giới dịch vụ ở cấp này, bạn có thể tạo một ranh giới.
Thêm Gemini vào phạm vi dịch vụ của bạn
Để sử dụng VPC Service Controls với Gemini, bạn cần thêm Gemini vào phạm vi dịch vụ ở cấp tổ chức. Ranh giới dịch vụ phải bao gồm tất cả các dịch vụ mà bạn sử dụng với Gemini và các dịch vụ khác của Google Cloud mà bạn muốn bảo vệ.
Để thêm Gemini vào chu vi dịch vụ của bạn, hãy làm theo các bước sau:
Trong bảng điều khiển Cloud, hãy chuyển đến trang VPC Service Controls.
Chọn tổ chức của bạn.
Trên trang VPC Service Controls, hãy nhấp vào tên của ranh giới bảo mật.
Nhấp vào Thêm tài nguyên rồi làm như sau:
Đối với mỗi dự án mà bạn đã bật Gemini, trong ngăn Thêm tài nguyên, hãy nhấp vào Thêm dự án, rồi làm như sau:
Trong hộp thoại Thêm dự án, hãy chọn những dự án mà bạn muốn thêm.
Nếu bạn đang sử dụng VPC dùng chung, hãy thêm dự án lưu trữ và các dự án dịch vụ vào phạm vi dịch vụ.
Nhấp vào Thêm tài nguyên đã chọn. Các dự án được thêm sẽ xuất hiện trong phần Dự án.
Đối với mỗi mạng VPC trong dự án của bạn, trong ngăn Thêm tài nguyên, hãy nhấp vào Thêm mạng VPC, rồi làm như sau:
Trong danh sách dự án, hãy nhấp vào dự án có mạng VPC.
Trong hộp thoại Thêm tài nguyên, hãy chọn hộp đánh dấu của mạng VPC.
Nhấp vào Thêm tài nguyên đã chọn. Mạng được thêm sẽ xuất hiện trong phần Mạng VPC.
Nhấp vào Dịch vụ bị hạn chế rồi làm như sau:
Trong ngăn Dịch vụ bị hạn chế, hãy nhấp vào Thêm dịch vụ.
Trong hộp thoại Specify services to restrict (Chỉ định các dịch vụ cần hạn chế), hãy chọn Gemini for Google Cloud API và Gemini Code Assist API làm các dịch vụ mà bạn muốn bảo mật trong phạm vi.
Nếu bạn dự định sử dụng tính năng tuỳ chỉnh mã, hãy chọn Developer Connect API. Để biết thêm thông tin về Developer Connect, hãy xem bài viết Tổng quan về Developer Connect.
Để tìm hiểu cách sử dụng các điều kiện ràng buộc tuỳ chỉnh của Organization Policy Service để hạn chế các thao tác cụ thể trên
developerconnect.googleapis.com/Connectionvàdeveloperconnect.googleapis.com/GitRepositoryLink, hãy xem bài viết Tạo chính sách tuỳ chỉnh cho tổ chức.
- Nhấp vào Thêm n dịch vụ, trong đó n là số lượng dịch vụ bạn đã chọn ở bước trước.
Không bắt buộc: Nếu nhà phát triển cần sử dụng Gemini trong phạm vi từ trình bổ trợ Cloud Code trong IDE của họ, thì bạn cần định cấu hình chính sách truy cập.
Việc bật VPC Service Controls cho Gemini sẽ ngăn chặn mọi hoạt động truy cập từ bên ngoài ranh giới, kể cả việc chạy tiện ích Gemini Code Assist cho các IDE trên những máy không nằm trong ranh giới, chẳng hạn như máy tính xách tay của công ty. Do đó, bạn cần thực hiện các bước này nếu muốn sử dụng Gemini với trình bổ trợ Gemini Code Assist.
Nhấp vào Chính sách về việc truy cập.
Trong ngăn Ingress rules (Quy tắc chuyển hướng), hãy nhấp vào Add rule (Thêm quy tắc).
Trong From attributes of the API client (Từ các thuộc tính của ứng dụng API), hãy chỉ định những nguồn bên ngoài phạm vi cần có quyền truy cập. Bạn có thể chỉ định các dự án, cấp truy cập và mạng VPC làm nguồn.
Trong Đến thuộc tính của tài nguyên/dịch vụ Google Cloud, hãy chỉ định tên dịch vụ của Gemini và Gemini Code Assist API.
Để biết danh sách các thuộc tính của quy tắc chuyển hướng, hãy xem phần Tài liệu tham khảo về quy tắc chuyển hướng.
Không bắt buộc: Nếu tổ chức của bạn sử dụng Access Context Manager và bạn muốn cấp cho nhà phát triển quyền truy cập vào các tài nguyên được bảo vệ từ bên ngoài chu vi, hãy đặt cấp độ truy cập:
Nhấp vào Cấp truy cập.
Trong ngăn Ingress Policy: Access Levels (Chính sách truy cập: Cấp truy cập), hãy chọn trường Choose Access Level (Chọn cấp truy cập).
Chọn hộp đánh dấu tương ứng với cấp truy cập mà bạn muốn áp dụng cho chu vi.
Nhấp vào Lưu.
Sau khi bạn hoàn tất các bước này, VPC Service Controls sẽ kiểm tra tất cả các lệnh gọi đến Gemini cho Google Cloud API để đảm bảo rằng các lệnh gọi đó bắt nguồn từ cùng một ranh giới.
Định cấu hình mạng VPC
Bạn cần định cấu hình mạng VPC để các yêu cầu được gửi đến IP ảo googleapis.com thông thường sẽ tự động được định tuyến đến dải IP ảo (VIP) bị hạn chế, 199.36.153.4/30 (restricted.googleapis.com), nơi dịch vụ Gemini của bạn đang hoạt động. Bạn không cần thay đổi bất kỳ cấu hình nào trong các tiện ích Gemini Code Assist IDE.
Đối với mỗi mạng VPC trong dự án của bạn, hãy làm theo các bước sau để chặn lưu lượng truy cập đi, ngoại trừ lưu lượng truy cập đến dải VIP bị hạn chế:
Bật Quyền truy cập riêng tư vào Google trên các mạng con lưu trữ tài nguyên mạng VPC của bạn.
Định cấu hình các quy tắc về tường lửa để ngăn dữ liệu rời khỏi mạng VPC.
- Tạo một quy tắc từ chối lưu lượng truy cập đi để chặn tất cả lưu lượng truy cập đi.
- Tạo một quy tắc cho phép lưu lượng truy cập đi ra đến
199.36.153.4/30trên cổng TCP443. Đảm bảo rằng quy tắc cho phép lưu lượng truy cập đi ra có mức độ ưu tiên trước quy tắc từ chối lưu lượng truy cập đi ra mà bạn vừa tạo. Điều này chỉ cho phép lưu lượng truy cập đi ra đến dải VIP bị hạn chế.
Tạo một quy tắc cho chính sách phản hồi để phân giải
*.googleapis.comthànhrestricted.googleapis.combằng các giá trị sau:Tên DNS:
*.googleapis.com.Dữ liệu địa phương:
restricted.googleapis.com.Loại bản ghi:
ATTL:
300Dữ liệu RR:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
Dải địa chỉ IP cho
restricted.googleapis.comlà199.36.153.4/30.
Sau khi bạn hoàn tất các bước này, các yêu cầu bắt nguồn từ mạng VPC sẽ không thể rời khỏi mạng VPC, ngăn chặn việc truyền dữ liệu ra ngoài chu vi dịch vụ. Những yêu cầu này chỉ có thể truy cập vào các API và dịch vụ của Google có kiểm tra VPC Service Controls, ngăn chặn việc trích xuất dữ liệu thông qua các API của Google.
Các cấu hình bổ sung
Tuỳ thuộc vào các sản phẩm của Google Cloud mà bạn sử dụng với Gemini, bạn phải cân nhắc những điều sau:
Các máy khách được kết nối với chu vi. Những máy nằm trong phạm vi của VPC Service Controls có thể truy cập vào tất cả các sản phẩm của Gemini. Bạn cũng có thể mở rộng ranh giới sang một Cloud VPN hoặc Cloud Interconnect được uỷ quyền từ một mạng bên ngoài.
Máy khách bên ngoài chu vi. Khi có các máy khách nằm ngoài chu vi dịch vụ, bạn có thể cấp quyền truy cập có kiểm soát vào dịch vụ Gemini bị hạn chế.
Để biết thêm thông tin, hãy xem bài viết Cho phép truy cập vào tài nguyên được bảo vệ từ bên ngoài một ranh giới.
Để xem ví dụ về cách tạo cấp truy cập trên mạng nội bộ, hãy xem bài viết Giới hạn quyền truy cập trên mạng nội bộ.
Xem các hạn chế khi sử dụng VPC Service Controls với Gemini.
Gemini Code Assist. Để tuân thủ VPC Service Controls, hãy đảm bảo rằng IDE hoặc máy trạm mà bạn đang sử dụng không có quyền truy cập vào
https://www.google.com/tools/feedback/mobilethông qua các chính sách tường lửa.- Gemini Code Assist trên GitHub. Nếu muốn bật chế độ cải thiện chất lượng phản hồi, bạn không nên đặt dự án Google Cloud của mình trong chu vi dịch vụ của VPC Service Controls.
Máy trạm trên đám mây. Nếu bạn sử dụng Cloud Workstations, hãy làm theo hướng dẫn trong phần Định cấu hình VPC Service Controls và các cụm riêng tư.
Bước tiếp theo
- Để biết thông tin về các dịch vụ và sản phẩm hỗ trợ tuân thủ trong Google Cloud, hãy xem Trung tâm tài nguyên về tuân thủ.