search
Новости – Google Cloud и Anthropic запустили Claude Apps Gateway для безопасного внедрения ИИ в Enterprise

Google Cloud и Anthropic запустили Claude Apps Gateway для безопасного внедрения ИИ в Enterprise

Google Cloud и Anthropic выпустили Claude apps gateway. Это self-hosted-сервис, который работает как промежуточное звено между локальными клиентами Claude Code и Google Cloud. Он дает IT-командам единую точку контроля над идентификацией, политиками, расходами и маршрутизацией запросов для всех разработчиков, использующих Claude Code в компании.

Почему именно шлюз, а не индивидуальные доступы?

Подключить отдельный экземпляр Claude Code к Google Cloud довольно просто. Достаточно задать CLAUDE_CODE_USE_VERTEX=1, выдать права roles/aiplatform.user — и инференс останется строго внутри периметра GCP. Но развернуть это на весь инженерный отдел намного сложнее. Вам придется управлять облачными доступами каждого разработчика в отдельности, пушить managed-settings.json через MDM, а также работать вслепую, без атрибуции использования и лимитов на расходы.

Claude apps gateway создан, чтобы закрыть этот пробел. Он развертывается как stateless-контейнер в Cloud Run и обеспечивает сразу несколько уровней контроля:

  • Контроль идентификации. Авторизация проходит через Google Workspace или любой другой OIDC-провайдер. Токен обменивается на короткоживущую сессию, поэтому API-ключи и доступы сервисных аккаунтов никогда не хранятся на ноутбуке разработчика.
  • Серверные политики. Правила RBAC прописываются единожды в файле gateway.yaml и проверяются при каждом вызове /v1/messages. Любые локальные изменения конфигов на стороне клиента ни на что не повлияют.
  • Атрибутивная телеметрия. Метрики использования жестко привязаны к верифицированному email-адресу и группе из подписанного токена сессии. Они передаются по протоколу OTLP прямо в тот стек мониторинга, который ваша команда уже использует.
  • Лимиты расходов. Вы можете задать дневные, недельные или месячные ограничения для пользователя, группы или всей компании. Данные сверяются с реестром в Cloud SQL, и при превышении лимита система автоматически возвращает ответ 429.
  • Управляемая маршрутизация. Все вызовы выполняются от имени единого сервисного аккаунта Cloud Run. При ошибках 5xx, 429 или таймаутах происходит автоматическое переключение между апстримами.

Полный процесс настройки задокументирован в справочнике конфигурации Claude apps gateway. Он включает развертывание базовой инфраструктуры GCP, написание конфигурации gateway.yaml и деплой в Cloud Run или GKE.

«Проблема никогда не заключалась в том, остается ли инференс внутри периметра GCP. Главная сложность была в другом: никто не мог сказать, какой именно разработчик инициировал запрос, или вовремя остановить сессию, которая стремительно сжигает бюджет. Объединение идентификации, политик и контроля расходов за одним сервисом Cloud Run — это именно тот уровень контроля, который от нас требуют enterprise-команды по безопасности.»
Максим Шаповал Директор по архитектуре безопасности в Cloudfresh

Как помогают Cloudfresh

Будучи глобальным партнером Google Cloud на уровне Premier, Cloudfresh помогают инженерным командам и службам безопасности развертывать, настраивать и запускать сервисы вроде Claude apps gateway на собственной инфраструктуре GCP. Мы берем на себя все: от интеграции IdP до проектирования политик RBAC и непрерывного контроля расходов.

Планируете запуск Claude Code в Google Cloud? Консультация →
Подпишитесь на облачную рассылку