Định cấu hình VPC Service Controls cho Gemini

Tài liệu này trình bày cách định cấu hình VPC Service Controls để hỗ trợ Gemini, một công cụ cộng tác dựa trên AI trong Google Cloud. Để hoàn tất cấu hình này, hãy làm như sau:

  1. Cập nhật phạm vi dịch vụ của tổ chức để bao gồm Gemini. Tài liệu này giả định rằng bạn đã có một khoanh vùng dịch vụ ở cấp tổ chức. Để biết thêm thông tin về phạm vi dịch vụ, hãy xem phần Thông tin chi tiết và cấu hình về phạm vi dịch vụ.

  2. Trong các dự án mà bạn đã bật quyền truy cập vào Gemini, hãy định cấu hình mạng VPC để chặn lưu lượng truy cập đi, ngoại trừ lưu lượng truy cập đến phạm vi VIP bị hạn chế.

Trước khi bắt đầu

  1. Đảm bảo rằng bạn đã thiết lập tính năng Trợ giúp mã Gemini cho tài khoản người dùng và dự án trên Google Cloud.

  2. Đảm bảo rằng bạn có các vai trò cần thiết trong Quản lý danh tính và quyền truy cập để thiết lập và quản trị VPC Service Controls.

  3. Đảm bảo rằng bạn có một phạm vi dịch vụ ở cấp tổ chức mà bạn có thể sử dụng để thiết lập Gemini. Nếu chưa có khoanh vùng dịch vụ ở cấp này, bạn có thể tạo khoanh vùng dịch vụ.

Thêm Gemini vào phạm vi dịch vụ

Để sử dụng VPC Service Controls với Gemini, bạn thêm Gemini vào phạm vi dịch vụ ở cấp tổ chức. Ranh giới dịch vụ phải bao gồm tất cả các dịch vụ mà bạn sử dụng với Gemini và các dịch vụ khác của Google Cloud mà bạn muốn bảo vệ.

Để thêm Gemini vào phạm vi dịch vụ, hãy làm theo các bước sau:

  1. Trong Google Cloud Console, hãy chuyển đến trang VPC Service Controls (Chế độ kiểm soát dịch vụ VPC).

    Chuyển đến VPC Service Controls

  2. Chọn tổ chức của bạn.

  3. Trên trang VPC Service Controls (Chế độ kiểm soát dịch vụ VPC), hãy nhấp vào tên của khoanh vùng bảo mật.

  4. Nhấp vào Thêm tài nguyên rồi làm như sau:

    1. Đối với mỗi dự án mà bạn đã bật Gemini, trong ngăn Add resources (Thêm tài nguyên), hãy nhấp vào Add project (Thêm dự án), sau đó làm như sau:

    2. Trong hộp thoại Add projects (Thêm dự án), hãy chọn các dự án mà bạn muốn thêm.

      Nếu bạn đang sử dụng VPC dùng chung, hãy thêm dự án máy chủ lưu trữ và dự án dịch vụ vào phạm vi dịch vụ.

    3. Nhấp vào Thêm tài nguyên đã chọn. Các dự án đã thêm sẽ xuất hiện trong mục Projects (Dự án).

    4. Đối với mỗi mạng VPC trong dự án, trong ngăn Thêm tài nguyên, hãy nhấp vào Thêm mạng VPC, sau đó làm như sau:

    5. Trong danh sách dự án, hãy nhấp vào dự án chứa mạng VPC.

    6. Trong hộp thoại Add resources (Thêm tài nguyên), hãy chọn hộp đánh dấu của mạng VPC.

    7. Nhấp vào Thêm tài nguyên đã chọn. Mạng đã thêm sẽ xuất hiện trong phần Mạng VPC.

  5. Nhấp vào Dịch vụ bị hạn chế rồi làm như sau:

    1. Trong ngăn Dịch vụ bị hạn chế, hãy nhấp vào Thêm dịch vụ.

    2. Trong hộp thoại Specify services to restrict (Chỉ định dịch vụ cần hạn chế), hãy chọn Gemini for Google Cloud API (API Gemini cho Google Cloud) và Gemini Code Assist API (API hỗ trợ mã Gemini) làm các dịch vụ mà bạn muốn bảo mật trong phạm vi.

    3. Nếu bạn dự định sử dụng tính năng tuỳ chỉnh mã, hãy chọn cả Developer Connect API. Để biết thêm thông tin về Developer Connect, hãy xem bài viết Tổng quan về Developer Connect.

      Để tìm hiểu cách sử dụng các quy tắc ràng buộc tuỳ chỉnh của Dịch vụ chính sách của tổ chức nhằm hạn chế các thao tác cụ thể trên developerconnect.googleapis.com/Connectiondeveloperconnect.googleapis.com/GitRepositoryLink, hãy xem phần Tạo chính sách tuỳ chỉnh của tổ chức.

    1. Nhấp vào Thêm n dịch vụ, trong đó n là số lượng dịch vụ bạn đã chọn ở bước trước.

  6. Không bắt buộc: Nếu nhà phát triển cần sử dụng Gemini trong phạm vi của trình bổ trợ Cloud Code trong IDE, thì bạn cần định cấu hình chính sách truy cập.

    Việc bật VPC Service Controls cho Gemini sẽ ngăn chặn mọi truy cập từ bên ngoài khoanh vùng, bao gồm cả việc chạy các tiện ích IDE hỗ trợ mã Gemini từ các máy không nằm trong khoanh vùng, chẳng hạn như máy tính xách tay của công ty. Do đó, bạn cần thực hiện các bước này nếu muốn sử dụng Gemini với trình bổ trợ Gemini Code Assist.

    1. Nhấp vào Chính sách truy cập.

    2. Trong ngăn Ingress rules (Quy tắc truy cập), hãy nhấp vào Add rule (Thêm quy tắc).

    3. Trong phần Từ các thuộc tính của ứng dụng API, hãy chỉ định các nguồn bên ngoài phạm vi cần quyền truy cập. Bạn có thể chỉ định dự án, cấp truy cập và mạng VPC làm nguồn.

    4. Trong phần To attributes of Google Cloud resources/services (Đến các thuộc tính của tài nguyên/dịch vụ Google Cloud), hãy chỉ định tên dịch vụ của Gemini và Gemini Code Assist API.

    Để biết danh sách các thuộc tính quy tắc truy cập, hãy xem nội dung Tài liệu tham khảo về quy tắc truy cập.

  7. Không bắt buộc: Nếu tổ chức của bạn sử dụng Access Context Manager (Trình quản lý ngữ cảnh truy cập) và bạn muốn cấp cho nhà phát triển quyền truy cập vào các tài nguyên được bảo vệ từ bên ngoài phạm vi, hãy đặt các cấp truy cập:

    1. Nhấp vào Cấp truy cập.

    2. Trong ngăn Ingress Policy: Access Levels (Chính sách truy cập: Cấp truy cập), hãy chọn trường Choose Access Level (Chọn cấp truy cập).

    3. Chọn hộp đánh dấu tương ứng với cấp truy cập mà bạn muốn áp dụng cho chu vi.

  8. Nhấp vào Lưu.

Sau khi bạn hoàn tất các bước này, VPC Service Controls sẽ kiểm tra tất cả các lệnh gọi đến Gemini cho API Google Cloud để đảm bảo rằng các lệnh gọi đó bắt nguồn từ cùng một phạm vi.

Định cấu hình mạng VPC

Bạn cần định cấu hình mạng VPC để các yêu cầu được gửi đến IP ảo googleapis.com thông thường được tự động định tuyến đến dải IP ảo (VIP) bị hạn chế, 199.36.153.4/30 (restricted.googleapis.com) nơi dịch vụ Gemini của bạn đang phân phát. Bạn không cần thay đổi bất kỳ cấu hình nào trong các tiện ích IDE hỗ trợ mã Gemini.

Đối với mỗi mạng VPC trong dự án, hãy làm theo các bước sau để chặn lưu lượng truy cập đi ra, ngoại trừ lưu lượng truy cập đến phạm vi VIP bị hạn chế:

  1. Bật tính năng Quyền truy cập riêng của Google trên các mạng con lưu trữ tài nguyên mạng VPC.

  2. Định cấu hình quy tắc tường lửa để ngăn dữ liệu rời khỏi mạng VPC.

    1. Tạo quy tắc từ chối truy cập ra bên ngoài để chặn tất cả lưu lượng truy cập ra bên ngoài.
    1. Tạo quy tắc cho phép lưu lượng truy cập ra ngoài để cho phép lưu lượng truy cập đến 199.36.153.4/30 trên cổng TCP 443. Đảm bảo rằng quy tắc cho phép thoát có mức độ ưu tiên cao hơn quy tắc từ chối thoát mà bạn vừa tạo. Quy tắc này chỉ cho phép thoát đến phạm vi VIP bị hạn chế.

  3. Tạo chính sách phản hồi của Cloud DNS.

  4. Tạo quy tắc cho chính sách phản hồi để phân giải *.googleapis.com thành restricted.googleapis.com bằng các giá trị sau:

    • Tên DNS: *.googleapis.com.

    • Dữ liệu cục bộ: restricted.googleapis.com.

    • Loại bản ghi: A

    • TTL: 300

    • Dữ liệu RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

    Dải địa chỉ IP cho restricted.googleapis.com199.36.153.4/30.

Sau khi bạn hoàn tất các bước này, các yêu cầu bắt nguồn từ mạng VPC sẽ không thể rời khỏi mạng VPC, ngăn chặn việc thoát ra bên ngoài phạm vi dịch vụ. Các yêu cầu này chỉ có thể truy cập vào các API và dịch vụ của Google kiểm tra VPC Service Controls, ngăn chặn việc rò rỉ thông tin thông qua các API của Google.

Cấu hình bổ sung

Tuỳ thuộc vào các sản phẩm Google Cloud mà bạn sử dụng với Gemini, bạn phải cân nhắc những điều sau:

  • Máy khách đã kết nối với chu vi. Các máy nằm trong phạm vi của VPC Service Controls có thể truy cập vào tất cả trải nghiệm Gemini. Bạn cũng có thể mở rộng phạm vi bảo vệ đến một VPN trên đám mây hoặc Kết nối trên đám mây được uỷ quyền từ một mạng bên ngoài.

  • Máy khách bên ngoài phạm vi bảo vệ. Khi có máy khách nằm ngoài phạm vi dịch vụ, bạn có thể cấp quyền truy cập có kiểm soát vào dịch vụ Gemini bị hạn chế.

  • Gemini Code Assist. Để tuân thủ VPC Service Controls, hãy đảm bảo rằng IDE hoặc máy trạm bạn đang sử dụng không có quyền truy cập vào https://www.google.com/tools/feedback/mobile thông qua các chính sách tường lửa.

  • Máy trạm trên đám mây. Nếu bạn sử dụng Máy trạm trên đám mây, hãy làm theo hướng dẫn trong phần Định cấu hình VPC Service Controls và cụm riêng tư.

Bước tiếp theo