Workload Manager のカスタムルールのご紹介: カスタマイズしたベスト プラクティスに基づいてワークロードを評価
Omkar Suram
Product Manager
David Stone
Director, Financial Services, Office of the CISO
※この投稿は米国時間 2025 年 1 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
デプロイがベスト プラクティスに沿っていることを確認し、構成検証レポートを作成する業務を担うクラウド アーキテクトや IT 管理者の方なら、ベスト プラクティスの導入が大きな負担になることはご存じでしょう。これは初めて導入するときだけの話ではありません。構成が時間とともに組織全体のベスト プラクティスから逸脱しないようにすることも、非常に困難です。
Workload Manager は、Google Cloud 上で実行しているワークロードを評価する、ルールベースの検証サービスです。SAP や Microsoft SQL Server を含むワークロードをスキャンし、基準、ルール、ベスト プラクティスからの逸脱を検出することで、システムの品質、信頼性、パフォーマンスを改善します。
Workload Manager へのカスタムルールの導入
このたび、Workload Manager を拡張して、カスタムルールの一般提供を開始しました。これは検出ベースのサービスであり、検証機能がデプロイをブロックすることなく、異なるアーキテクチャ上のインテントの間で、コンプライアンスの問題を容易に検出できるようにします。今後は、複数のプロジェクト、フォルダ、組織にわたって Google Cloud のデプロイをベスト プラクティスやカスタム基準に照らして検証し、コンプライアンスが維持されていることを確認できるようになります。
Workload Manager のカスタムルールをわずか数分で使い始める方法を以下に示します。
1) ベスト プラクティスを記述し、リソースを検証するGoogle Cloud アーキテクチャ フレームワークからデプロイに関連するベスト プラクティスを特定して Rego で記述し、デプロイに対して評価スキャンを実行または予定します。Rego は、複雑なデータ構造に対するルールの定義やポリシーの表現に使用する宣言型のポリシー言語です。
GitHub リポジトリに Rego のサンプル ポリシーを用意しましたのでご活用ください(https://github.com/GoogleCloudPlatform/workload-manager)。
環境設定に基づいて Rego ルールを新規に作成することもできます。ルールの新規作成について詳しくは、Google のアカウント担当者にお問い合わせください。
2) 結果を BigQuery データセットにエクスポートし、Looker で可視化する各検証スキャンをエクスポートする独自の BigQuery データセットを構成してから、それを既存のレポート システムに簡単に統合したり、新しい Looker ダッシュボードを作成したり、結果を Google スプレッドシートにエクスポートして修復手順を計画したりできます。
また、メールや Google Chat メッセージを送信するように Pub/Sub ベースの通知を構成することや、さまざまな評価成功基準に基づいてサードパーティ製システムと連携することもできます。
一般的な構成の検証だけではない柔軟なシステム
カスタムルールを使用すると、複数のドメインにわたり、複雑なロジックや検証要件を持つルールを作成できます。作成や管理は対象分野の専門家に任せることで、開発期間を短縮し、新しいポリシーを迅速にリリースできます。
また、中央の BigQuery テーブルにエクスポートすることで、複数の評価から違反に関する結果を集約してレポート システムと簡単に統合し、一元的なコンプライアンス プログラムを構築できます。
Workload Manager のカスタムルールの詳細についてはドキュメントをご覧ください。また、お客様のデプロイでサンプル ポリシーをお試しください。
さらにサポートが必要な場合: ベスト プラクティスの作成、選定、採用について詳しくは、Google のアカウント担当者にお問い合わせください。
-プロダクト マネージャー Omkar Suram
-CISO オフィス、金融サービス担当ディレクター David Stone