กำหนดค่าการควบคุมบริการ VPC สำหรับ Gemini

เอกสารนี้แสดงวิธีกำหนดค่าการควบคุมบริการ VPC เพื่อรองรับ Gemini ซึ่งเป็นเครื่องมือทำงานร่วมกันที่ทำงานด้วยระบบ AI ใน Google Cloud ทําตามขั้นตอนต่อไปนี้เพื่อกําหนดค่าให้เสร็จสมบูรณ์

1. อัปเดตขอบเขตบริการขององค์กรให้รวม Gemini ไว้ด้วย เอกสารนี้จะถือว่าคุณมีขอบเขตบริการที่ระดับองค์กรอยู่แล้ว ดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตบริการได้ที่รายละเอียดและการกำหนดค่าขอบเขตบริการ

2. ในโปรเจ็กต์ที่คุณเปิดใช้การเข้าถึง Gemini ให้กำหนดค่าเครือข่าย VPC ให้บล็อกการรับส่งข้อมูลขาออก ยกเว้นการรับส่งข้อมูลไปยังช่วง VIP ที่จำกัด

ก่อนเริ่มต้น

1. ตรวจสอบว่าได้ตั้งค่า Gemini Code Assist สำหรับบัญชีผู้ใช้และโปรเจ็กต์ Google Cloud

2. ตรวจสอบว่าคุณมีบทบาท Identity and Access Management ที่จำเป็นเพื่อตั้งค่าและจัดการการควบคุมบริการ VPC

3. ตรวจสอบว่าคุณมีขอบเขตบริการระดับองค์กรที่สามารถใช้เพื่อตั้งค่า Gemini ได้ หากไม่มีขอบเขตบริการในระดับนี้ คุณสามารถสร้างได้

เพิ่ม Gemini ไปยังขอบเขตบริการ

หากต้องการใช้การควบคุมบริการ VPC กับ Gemini ให้เพิ่ม Gemini ไปยังขอบเขตบริการที่ระดับองค์กร ขอบเขตบริการต้องรวมบริการทั้งหมดที่คุณใช้กับ Gemini และบริการอื่นๆ ของ Google Cloud ที่ต้องการปกป้อง

หากต้องการเพิ่ม Gemini ลงในขอบเขตบริการ ให้ทำตามขั้นตอนต่อไปนี้

1. ในคอนโซล Google Cloud ให้ไปที่หน้าการควบคุมบริการ VPC

   ไปที่การควบคุมบริการ VPC

2. เลือกองค์กร

3. ในหน้าการควบคุมบริการ VPC ให้คลิกชื่อของขอบเขต

4. คลิกเพิ่มทรัพยากร แล้วทําดังนี้

   1. สําหรับแต่ละโปรเจ็กต์ที่คุณเปิดใช้ Gemini ให้คลิกเพิ่มโปรเจ็กต์ในแผงเพิ่มทรัพยากร แล้วทําดังนี้

   2. ในกล่องโต้ตอบเพิ่มโปรเจ็กต์ ให้เลือกโปรเจ็กต์ที่ต้องการเพิ่ม

      หากคุณใช้ VPC ที่แชร์ ให้เพิ่มโปรเจ็กต์โฮสต์และโปรเจ็กต์บริการไปยังขอบเขตบริการ

   3. คลิกเพิ่มทรัพยากรที่เลือก โปรเจ็กต์ที่เพิ่มจะปรากฏในส่วนโปรเจ็กต์

   4. สำหรับเครือข่าย VPC แต่ละเครือข่ายในโปรเจ็กต์ ให้คลิกเพิ่มเครือข่าย VPC ในแผงเพิ่มทรัพยากร แล้วทําดังนี้

   5. จากรายการโปรเจ็กต์ ให้คลิกโปรเจ็กต์ที่มีเครือข่าย VPC

   6. ในกล่องโต้ตอบเพิ่มทรัพยากร ให้เลือกช่องทําเครื่องหมายของเครือข่าย VPC

   7. คลิกเพิ่มทรัพยากรที่เลือก เครือข่ายที่เพิ่มจะปรากฏในส่วนเครือข่าย VPC

5. คลิกบริการที่ถูกจํากัด แล้วทําดังนี้

   1. คลิกเพิ่มบริการในแผงบริการที่ถูกจำกัด

   2. ในกล่องโต้ตอบระบุบริการที่จะจํากัด ให้เลือก Gemini for Google Cloud API และ Gemini Code Assist API เป็นบริการที่ต้องการรักษาความปลอดภัยภายในขอบเขต

   3. หากวางแผนที่จะใช้การปรับแต่งโค้ด ให้เลือก Developer Connect API ด้วย ดูข้อมูลเพิ่มเติมเกี่ยวกับ Developer Connect ได้ที่ภาพรวมของ Developer Connect

      ดูวิธีใช้ข้อจำกัดที่กำหนดเองของบริการนโยบายองค์กรเพื่อจำกัดการดำเนินการบางอย่างใน developerconnect.googleapis.com/Connection และ developerconnect.googleapis.com/GitRepositoryLink ได้ที่หัวข้อสร้างนโยบายองค์กรที่กำหนดเอง

   1. คลิกเพิ่มบริการ n รายการ โดยที่ n คือจํานวนบริการที่คุณเลือกในขั้นตอนก่อนหน้า

6. ไม่บังคับ: หากนักพัฒนาซอฟต์แวร์จําเป็นต้องใช้ Gemini ภายในขอบเขตจากปลั๊กอิน Cloud Code ใน IDE คุณจะต้องกําหนดค่านโยบายการเข้าสู่ระบบ

   การเปิดใช้การควบคุมบริการ VPC สำหรับ Gemini จะป้องกันไม่ให้มีสิทธิ์เข้าถึงจากภายนอกขอบเขตทั้งหมด รวมถึงการเรียกใช้ส่วนขยาย IDE ของ Gemini Code Assist จากเครื่องที่ไม่ได้อยู่ในขอบเขต เช่น แล็ปท็อปของบริษัท ดังนั้น คุณจึงต้องทำตามขั้นตอนเหล่านี้หากต้องการใช้ Gemini กับปลั๊กอิน Gemini Code Assist

   1. คลิกนโยบายข้อมูลขาเข้า

   2. คลิกเพิ่มกฎในแผงกฎขาเข้า

   3. ในแอตทริบิวต์ FROM ของไคลเอ็นต์ API ให้ระบุแหล่งที่มาจากภายนอกขอบเขตที่ต้องเข้าถึง คุณสามารถระบุโปรเจ็กต์ ระดับการเข้าถึง และเครือข่าย VPC เป็นแหล่งที่มาได้

   4. ในแอตทริบิวต์ "ถึง" ของทรัพยากร/บริการ Google Cloud ให้ระบุชื่อบริการของ Gemini และ Gemini Code Assist API

   ดูรายการแอตทริบิวต์กฎขาเข้าได้ที่ข้อมูลอ้างอิงกฎขาเข้า

7. ไม่บังคับ: หากองค์กรใช้เครื่องมือจัดการสิทธิ์เข้าถึงตามบริบทและคุณต้องการอนุญาตให้นักพัฒนาแอปเข้าถึงทรัพยากรที่มีการป้องกันจากภายนอกขอบเขต ให้ตั้งค่าระดับการเข้าถึงดังนี้

   1. คลิกระดับการเข้าถึง

   2. ในแผงนโยบายข้อมูลขาเข้า: ระดับการเข้าถึง ให้เลือกช่องเลือกระดับการเข้าถึง

   3. เลือกช่องทำเครื่องหมายที่สอดคล้องกับระดับการเข้าถึงที่ต้องการใช้กับขอบเขต

8. คลิกบันทึก

หลังจากทำตามขั้นตอนเหล่านี้แล้ว การควบคุมบริการ VPC จะตรวจสอบการเรียกใช้ Gemini for Google Cloud API ทั้งหมดเพื่อให้แน่ใจว่ามาจากภายในขอบเขตเดียวกัน

กำหนดค่าเครือข่าย VPC

คุณต้องกำหนดค่าเครือข่าย VPC เพื่อให้ระบบกำหนดเส้นทางคำขอที่ส่งไปยัง IP เสมือน googleapis.com ปกติไปยังช่วง IP เสมือน (VIP) ที่จำกัดโดยอัตโนมัติ ซึ่งก็คือ 199.36.153.4/30 (restricted.googleapis.com) ซึ่งเป็นบริการ Gemini ของคุณ คุณไม่จําเป็นต้องเปลี่ยนการกําหนดค่าใดๆ ในส่วนขยาย IDE ของ Gemini Code Assist

สําหรับเครือข่าย VPC แต่ละเครือข่ายในโปรเจ็กต์ ให้ทําตามขั้นตอนต่อไปนี้เพื่อบล็อกการรับส่งข้อมูลขาออก ยกเว้นการรับส่งข้อมูลไปยังช่วง VIP ที่จํากัด

1. เปิดใช้การเข้าถึง Google แบบส่วนตัวในซับเน็ตที่โฮสต์ทรัพยากรเครือข่าย VPC

2. กำหนดค่ากฎไฟร์วอลล์เพื่อป้องกันไม่ให้ข้อมูลออกจากเครือข่าย VPC

   1. สร้างกฎการปฏิเสธการรับส่งข้อมูลขาออกที่บล็อกการรับส่งข้อมูลขาออกทั้งหมด
   1. สร้างกฎการอนุญาตการรับส่งข้อมูลขาออกที่อนุญาตให้มีการรับส่งข้อมูลไปยัง 199.36.153.4/30 ในพอร์ต TCP 443 ตรวจสอบว่ากฎการอนุญาตให้ออกมีลําดับความสําคัญก่อนกฎการปฏิเสธการออกที่คุณเพิ่งสร้างขึ้น ซึ่งจะอนุญาตให้ออกได้เฉพาะในช่วง VIP ที่จํากัด

3. สร้างนโยบายการตอบกลับของ Cloud DNS

4. สร้างกฎสําหรับนโยบายการตอบกลับเพื่อแก้ไข *.googleapis.com เป็น restricted.googleapis.com ด้วยค่าต่อไปนี้

   • ชื่อ DNS: *.googleapis.com.

   • ข้อมูลในเครื่อง: restricted.googleapis.com.

   • ประเภทระเบียน: A

   • TTL: 300

   • ข้อมูล RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   ช่วงที่อยู่ IP ของ restricted.googleapis.com คือ 199.36.153.4/30

หลังจากทำตามขั้นตอนเหล่านี้แล้ว คำขอที่มาจากภายในเครือข่าย VPC จะออกจากเครือข่าย VPC ไม่ได้ ซึ่งจะป้องกันไม่ให้มีการออกนอกขอบเขตบริการ คำขอเหล่านี้จะเข้าถึงได้เฉพาะ API และบริการของ Google ที่ตรวจสอบการควบคุมบริการ VPC ซึ่งจะช่วยป้องกันการลักลอบนำข้อมูลออกผ่าน API ของ Google

การกำหนดค่าเพิ่มเติม

คุณต้องพิจารณาสิ่งต่อไปนี้โดยขึ้นอยู่กับผลิตภัณฑ์ Google Cloud ที่คุณใช้กับ Gemini

• เครื่องไคลเอ็นต์ที่เชื่อมต่อกับขอบเขต เครื่องที่อยู่ในขอบเขตการควบคุมบริการ VPC จะเข้าถึงประสบการณ์การใช้งาน Gemini ทั้งหมดได้ นอกจากนี้ คุณยังขยายขอบเขตไปยัง Cloud VPN หรือ Cloud Interconnect ที่อนุญาตจากเครือข่ายภายนอกได้ด้วย

• เครื่องไคลเอ็นต์ที่อยู่นอกขอบเขต เมื่อใช้เครื่องไคลเอ็นต์ที่อยู่นอกขอบเขตบริการ คุณจะมอบสิทธิ์เข้าถึงที่มีการควบคุมไปยังบริการ Gemini ที่จำกัดได้

  • ดูข้อมูลเพิ่มเติมได้ที่อนุญาตการเข้าถึงทรัพยากรที่มีการป้องกันจากนอกขอบเขต

  • ดูตัวอย่างวิธีสร้างระดับการเข้าถึงในเครือข่ายขององค์กรได้ที่จำกัดการเข้าถึงในเครือข่ายขององค์กร

  • โปรดอ่านข้อจำกัดเมื่อใช้การควบคุมบริการ VPC กับ Gemini

• Gemini Code Assist เพื่อให้เป็นไปตามข้อกำหนดของการควบคุมบริการ VPC โปรดตรวจสอบว่า IDE หรือเวิร์กสเตชันที่คุณใช้ไม่มีสิทธิ์เข้าถึง https://www.google.com/tools/feedback/mobile ผ่านนโยบายไฟร์วอลล์

• Cloud Workstations หากคุณใช้ Cloud Workstation ให้ทําตามวิธีการในหัวข้อกําหนดค่าการควบคุมบริการ VPC และคลัสเตอร์ส่วนตัว

ขั้นตอนถัดไป

• ดูข้อมูลเกี่ยวกับข้อเสนอการปฏิบัติตามข้อกำหนดใน Google Cloud ได้ที่ศูนย์แหล่งข้อมูลด้านการปฏิบัติตามข้อกำหนด