VPC配置指南：Gemini API私密访问安全设置

本文详解如何在 Google Cloud 中通过 VPC Service Controls 构建端到端的私密访问体系，实现对 Gemini API 的严格网络隔离与安全管控——从创建包含 aiplatform.googleapis.com 的服务边界、启用 Private Google Access，到利用 Private Service Connect 设立私有接入点，再叠加组织级 IAM 条件策略精准限制源 IP，最终通过多维度验证确保仅授权 VPC 内部流量可安全调用 Gemini，彻底阻断公网及跨 VPC 的未授权访问，为敏感 AI 应用提供企业级零信任网络防护。

如果您希望在 Google Cloud 环境中限制对 Gemini API 的访问，仅允许来自特定 VPC 网络的请求调用，同时阻止公网或其他 VPC 的直接访问，则需通过 VPC Service Controls（VPC SC）配置服务边界。以下是实现该私密访问控制的具体步骤：

一、创建 VPC Service Controls 服务边界

服务边界用于定义受保护资源的地理与网络逻辑范围，将 Gemini API（属于 AI Platform / Vertex AI 服务）纳入边界后，可强制所有访问必须经过边界内授权的 VPC 网络或已批准的访问方式。

1、进入 Google Cloud Console，导航至 Security → VPC Service Controls。

2、点击 Create service perimeter，选择 Service perimeter type: Regular。

3、在 Resources to include 区域，勾选 aiplatform.googleapis.com（Gemini API 所属的后端服务）。

4、在 Access levels 或 VPC networks 部分，添加需授权访问的 VPC 网络（如 projects/my-project/global/networks/default）。

二、配置边界内 VPC 的 Private Google Access

Private Google Access 允许 VPC 内部实例通过私有 IP 访问 Google APIs（包括 Gemini），而无需经由外部 NAT 或公共互联网，这是实现私密访问的前提网络条件。

1、进入 VPC network → VPC networks，选择目标 VPC。

2、点击 Edit，向下滚动至 Private Google Access 区域。

3、为每个子网启用开关，并确保状态显示为 On。

4、保存更改后，等待约 2 分钟使配置生效。

三、部署边界内服务并使用 Private Service Connect 接入 Gemini API

Private Service Connect（PSC）可在 VPC 内创建私有接入点，将流量定向至 Google 托管的 Gemini API 后端，避免暴露公网 IP，且天然受 VPC Service Controls 边界策略约束。

1、在目标 VPC 所在项目中，前往 Network services → Private Service Connect。

2、点击 Create endpoint，选择 Google services 作为后端类型。

3、在服务列表中选择 aiplatform.googleapis.com (gemini)，并指定区域（如 us-central1）。

4、设置内部 IP 地址（如 10.100.10.10），该地址将作为 VPC 内应用调用 Gemini 的唯一入口。

四、配置组织级 IAM 条件策略限制非边界调用

即使存在服务边界，若组织内其他项目拥有足够权限，仍可能绕过边界发起调用；通过条件式 IAM 策略可进一步限定仅允许来自边界内 VPC CIDR 范围的请求触发 Gemini API。

1、进入 IAM & Admin → Organization policies，选择组织节点。

2、搜索并启用 Restrict access to services based on network 策略。

3、在策略值中添加 JSON 表达式：request.src_ip.inIpRange("10.100.0.0/16")，对应已授权 VPC 的主 CIDR。

4、将策略绑定至包含 Gemini 调用者的项目层级。

五、验证私密访问路径是否生效

验证需从边界内 VPC 实例发起请求，并确认外部及非授权网络无法建立有效连接，从而确认服务边界与网络策略协同生效。

1、在边界内 VPC 的 Compute Engine 实例中执行：curl -H "Authorization: Bearer $(gcloud auth print-access-token)" https://us-central1-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/publishers/google/models/gemini-1.5-flash:generateContent。

2、从边界外 VPC 或本地机器运行相同命令，应返回 PERMISSION_DENIED: Requests from this network are not allowed 错误。

3、检查 Cloud Audit Logs 中 v1.services.accessPolicies.apply 和 v1.services.perimeters.create 日志条目，确认策略已成功部署。

今天关于《VPC配置指南：Gemini API私密访问安全设置》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！