為 Gemini 設定 VPC Service Controls

本文件說明如何設定 VPC Service Controls，以支援 Google Cloud 中的 AI 協作工具 Gemini。如要完成這項設定，請執行下列操作：

1. 更新貴機構的服務範圍，納入 Gemini。本文件假設您已在機構層級建立服務邊界。如要進一步瞭解服務範圍，請參閱「服務範圍詳細資料與設定」。

2. 在已啟用 Gemini 存取權的專案中，請設定 VPC 網路，以便封鎖傳出流量，但允許傳送至受限制 VIP 範圍的流量。

事前準備

1. 確認您已為 Google Cloud 使用者帳戶和專案設定 Gemini Code Assist。

2. 確認您具備必要的 Identity and Access Management 角色，才能設定及管理 VPC Service Controls。

3. 請確認您在機構層級設有服務範圍，以便設定 Gemini。如果您沒有這個層級的服務邊界，可以建立。

將 Gemini 新增至服務範圍

如要將 VPC Service Controls 與 Gemini 搭配使用，您必須在機構層級將 Gemini 新增至服務範圍。服務範圍必須包含您與 Gemini 搭配使用的所有服務，以及您要保護的其他 Google Cloud 服務。

如要將 Gemini 新增至服務範圍，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往「VPC Service Controls」頁面。

   前往「VPC Service Controls」頁面

2. 選取您的機構。

3. 在「VPC Service Controls」頁面中，按一下範圍名稱。

4. 按一下「新增資源」，然後執行下列操作：

   1. 針對已啟用 Gemini 的每個專案，請在「Add resources」窗格中按一下「Add project」，然後執行下列操作：

   2. 在「Add projects」對話方塊中，選取要新增的專案。

      如果您使用共用虛擬私有雲，請將主機專案和服務專案新增至服務範圍。

   3. 按一下「新增所選資源」。新增的專案會顯示在「Projects」專區。

   4. 針對專案中的每個虛擬私有雲網路，請在「Add resources」窗格中按一下「Add VPC network」，然後執行下列操作：

   5. 在專案清單中，按一下含有 VPC 網路的專案。

   6. 在「Add resources」對話方塊中，選取虛擬私有雲端網路的核取方塊。

   7. 按一下「新增所選資源」。新增的網路會顯示在「VPC 網路」部分。

5. 按一下「受限服務」，然後執行下列操作：

   1. 在「受限制的服務」窗格中，按一下「新增服務」。

   2. 在「Specify services to restrict」對話方塊中，選取「Gemini for Google Cloud API」和「Gemini Code Assist API」，做為您想在該範圍內保護的服務。

   3. 如果您打算使用程式碼自訂功能，請一併選取 Developer Connect API。如要進一步瞭解 Developer Connect，請參閱「Developer Connect 總覽」。

      如要瞭解如何使用機構政策服務自訂限制，限制 developerconnect.googleapis.com/Connection 和 developerconnect.googleapis.com/GitRepositoryLink 上的特定作業，請參閱「建立自訂機構政策」。

   1. 按一下「Add n services」，其中 n 是您在上一個步驟中選取的服務數量。

6. 選用：如果開發人員需要在 IDE 中使用 Cloud Code 外掛程式的邊界內使用 Gemini，則您需要設定入站政策。

   為 Gemini 啟用 VPC Service Controls 後，系統會禁止範圍外所有存取行為，包括在範圍外裝置 (例如公司筆電) 上執行 Gemini Code Assist IDE 擴充功能。因此，如果您想搭配 Gemini Code Assist 外掛程式使用 Gemini，就必須執行這些步驟。

   1. 按一下「輸入政策」。

   2. 在「Ingress rules」窗格中，按一下「Add rule」。

   3. 在「API 用戶端的來源」屬性中，指定需要存取權的圓周外來源。您可以將專案、存取層級和虛擬私人雲端網路指定為來源。

   4. 在「To attributes of Google Cloud resources/services」中，指定 Gemini 和 Gemini Code Assist API 的服務名稱。

   如需 ingress 規則屬性清單，請參閱Ingress 規則參考資料。

7. 選用：如果貴機構使用 Access Context Manager，且您想讓開發人員存取範圍外的受保護資源，請設定存取層級：

   1. 按一下「存取層級」。

   2. 在「Ingress Policy: Access Levels」窗格中，選取「Choose Access Level」欄位。

   3. 找出要套用到範圍的存取層級，然後勾選對應的核取方塊。

8. 按一下 [儲存]。

完成這些步驟後，VPC Service Controls 會檢查所有對 Gemini for Google Cloud API 的呼叫，確保這些呼叫來自相同的範圍。

設定虛擬私人雲端網路

您需要設定 VPC 網路，讓傳送至一般 googleapis.com 虛擬 IP 的請求自動轉送至 Gemini 服務提供服務的受限制虛擬 IP (VIP) 範圍 199.36.153.4/30 (restricted.googleapis.com)。您不需要變更 Gemini Code Assist IDE 擴充功能中的任何設定。

針對專案中的每個虛擬私有雲網路，請按照下列步驟封鎖傳出流量，但傳送至受限制 VIP 範圍的流量除外：

1. 在代管 VPC 網路資源的子網路中啟用 私人 Google 存取權。

2. 設定防火牆規則，避免資料離開虛擬私有雲網路。

   1. 建立拒絕輸出規則，封鎖所有傳出流量。
   1. 建立輸出規則，允許 TCP 通訊埠 443 上的流量傳送至 199.36.153.4/30。請確認允許輸出規則的優先順序高於您剛建立的拒絕輸出規則，這樣才能只允許輸出受限制的 VIP 範圍。

3. 建立 Cloud DNS 回應政策。

4. 建立回應政策規則，以便將 *.googleapis.com 解析為 restricted.googleapis.com，並使用下列值：

   • DNS 名稱：*.googleapis.com.

   • 本機資料：restricted.googleapis.com.

   • 記錄類型：A

   • TTL：300

   • RR 資料：199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   restricted.googleapis.com 的 IP 位址範圍為 199.36.153.4/30。

完成這些步驟後，來自虛擬私有雲網路內的請求就無法離開虛擬私有雲網路，可防止服務範圍外的輸出。這些要求只能傳送至檢查 VPC Service Controls 的 Google API 和服務，以防透過 Google API 外洩資料。

其他設定

視您搭配 Gemini 使用的 Google Cloud 產品而定，請務必考量以下事項：

• 已連線至邊界區域的用戶端電腦。位於 VPC Service Controls 範圍內的機器可存取所有 Gemini 體驗。您也可以將範圍延伸至外部網路中的授權 Cloud VPN 或 Cloud Interconnect。

• 位於外圍範圍外的用戶端機器。如果您有位於服務範圍外的用戶端機器，可以授予受控存取權，以便存取受限制的 Gemini 服務。

  • 詳情請參閱「允許服務範圍外的受保護資源存取要求」。

  • 如需公司網路存取層級的建立範例，請參閱「限制公司網路的存取權」。

  • 請參閱 Gemini 搭配使用 VPC Service Controls 時的限制。

• Gemini Code Assist為遵守 VPC Service Controls 規定，請確認您使用的 IDE 或工作站無法透過防火牆政策存取 https://www.google.com/tools/feedback/mobile。

• Cloud Workstations。如果您使用 Cloud Workstations，請按照「設定 VPC Service Controls 和私人叢集」中的操作說明進行。

後續步驟

• 如要瞭解 Google Cloud 的法規遵循產品，請前往法規遵循資源中心。