Recommender を使用したクラウド実行の最適化
Google Cloud Japan Team
※この投稿は米国時間 2020 年 6 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。
クラウド プロジェクトのオーナーであれば、誰もが効率的かつスムーズに実行できるクラウド環境を求めるでしょう。クラウド環境の最適化を実現するための手段として、Google Cloud では Recommender と呼ばれる一連のツールを提供しています。これらのツールは、分析と機械学習を活用して問題を自動的に検出し、対処可能な最適化案をお客様に提示します。
Recommender では、料金、パフォーマンスおよびセキュリティに合わせてクラウドを最適化するための迅速で簡単な方法を提案することを目標としています。VM Recommender、ファイアウォールのインサイト、IAM Recommender をはじめとするいくつかの Recommender はすでに一般提供されています。実際、Google Cloud の多くのチームがクラウドの改善に役立つ Recommender の開発に取り組み、お客様が手間なく簡単に推奨事項を見つけて対処できるようにすることを目指しています。このような理由も踏まえて、新たな Recommendation Hub のベータ版もリリースいたしました。このハブは、先を見越した推奨事項を 1 か所にまとめて、お客様が確認し対処できるようにします。
最適化案をすべてまとめて確認し対処できるようにするうえで、Recommendation Hub は極めて重要な役割を果たします。このハブはプロジェクトで特に大きな機会を捉えるだけでなく、Google Cloud 全般を確認するうえでも役立ちます。対象がネットワーキングか、セキュリティか、コンピューティングやストレージのリソースか、費用や課金か、Anthos かどうかを問わず、Recommendation Hub は貴重なインサイトと推奨事項のすべてに優先順位を付け、分析および行動するために必要なツールを提供します。
Recommendation Hub と Recommender は、Google Cloud の大きなイニシアチブの一部として、機械学習と分析を使用し、より優れた意思決定、費用の削減、運用の自動化を支援します。これに関する詳しい情報は今後発表される予定ですが、ここでは現在使用できる Recommender の機能の一部をご紹介します。
VM Recommender による費用とパフォーマンスに対するリソースの最適化
どのような企業であっても、いつかは仮想マシン(VM)インスタンスのスケールアップやスケールダウンが必要になる日がやってくるでしょう。それに備えるため、Google Cloud では 2 つのタイプの Recommender をご用意しています。1 つは費用とパフォーマンスに応じて VM を最適化するものです。もう 1 つは未使用の VM と永続ディスク(PD)を識別して削除(またはバックアップ)し、使用していないリソースの支払いを回避するものです。
これらすべてで、お客様固有の状況に基づいてパフォーマンスと費用のバランスを適切に保てるように支援します。VuClip では、Idle VM Recommender をテストしてみることにしました。それが今では同社のクラウド環境を最適化する手段として重要な役割を果たしています。
「最近のハッカソンの実施中に、Google Cloud の Idle VM Recommender を試すことにしました。200 台以上の VM がアイドル状態で、結果として費用が発生していることがすぐにわかりました。これは、Idle VM Recommender なしではわからなかったことです。これらのアイドル状態の VM を検出するのに、Google Cloud は数秒もかからなかったことが重要です。」- VuClip 社 テクノロジー担当アソシエイト ディレクター Hrushikesh Kulkarni 氏
Firewall Insights でネットワークの安全性を向上させる
セキュリティ エンジニアやネットワーク エンジニアにとって、ファイアウォール ルールの管理は常に大きな課題です。ファイアウォールへのアクセス数が時間の経過に伴って増えると、ファイアウォール構成の複雑性が増し、管理が非常に難しくなります。新しいツールとして現在ベータ版で提供されている Firewall Insights を利用すると、以下のようなファイアウォールの主要な問題を検出し、簡単な修復オプションを提供することで、クラウド環境の安全性を改善できます。
- より優先度の高いルールと重複しているためファイアウォール ルールの評価中に到達できないシャドーイング対象ルール
- 不要な許可ルール、オープンポート、IP 範囲
- 新たな攻撃の兆候であるファイアウォール ルールの急激なヒット数増加(およびトラフィックの送信元へのドリルダウン)
- ファイアウォール ルールの合計数削減のためクリーンアップ可能な、冗長なファイアウォール ルール
- 未承認の IP 範囲やポートへのアクセスを試みる送信元からのヒット数がある拒否ファイアウォール ルール
ネットワーク パフォーマンス モニタリング製品とネットワーク セキュリティ製品を開発する Flowmon は、既存のファイアウォール ルールについて新しい知見を得るために Firewall Insights を利用しています。
「Firewall Insights はとても役立っています。当社のファイアウォール ルールの実態を知ることができる貴重な情報を、非常に容易に提供してくれます。その情報に基づいてすべてのファイアウォール ルールを迅速かつ簡単に最適化できています。」- Flowmon 社 クラウド プロダクト マネージャー Boris Parák 氏
Firewall Insights(Network Intelligence Center でも提供中)のご利用に関して詳しくは、こちらのドキュメントまたは以下の動画をご覧ください。
IAM Recommender で不要なアクセスを遮断する
全体的なセキュリティ体制において、ファイアウォール ルールとは別に重要な役割を果たすのが権限です。IAM Recommender を利用すれば、スマート アクセス制御の最適化案により、Google Cloud リソースへの不要なアクセスを排除できます。IAM Recommender は機械学習を利用して制限の緩すぎるアクセス権設定を自動で検出し、プロジェクト メンバーが実際に必要とする権限をセキュリティ チームが特定できるようにします。これは、特権の付与を最小限にするベスト プラクティスを確立して組織のセキュリティ リスクを低減するために役立つだけでなく、データやクラウド インフラストラクチャを誤って変更する事態を防ぐことにもなります。以下の動画でその仕組みを紹介しています。
その他多数の Recommender も近日提供予定
他の Recommender の開発も現在進められていて、提供可能になると Recommender Hub で公開されます。今後数か月で、次のような Recommender の提供を予定しています。
費用とパフォーマンス
- Compute Engine ファミリー間のレコメンデーション: お客様のワークロード(メモリ最適化など)に最適な VM ファミリーを選択します。
- 確約利用割引(CUD)の最大化: 割引プランを最大限利用しているかを確認し、クラウドの費用を予算内に収めます。
セキュリティ
- GKE RBAC: 制限の緩すぎる権限の評価と削除を行います。
- セキュリティ キー: スマートフォンを使用したセキュリティ キーを実装してハイリスク ユーザーをフィッシング攻撃から保護します。
信頼性と可用性
- Compute Engine の事前対応的な自動スケーリング: コンピューティングを事前対応的にスケールして、レイテンシと費用を低減します。
- VPN トンネル: 過剰に使われているトンネルを事前対応的に検出して、ネットワーク パケット損失を防ぎます。
Google では Recommender によって、勘に頼ったり苦労したりすることなくクラウドを最適な状態で運用できるようにしたいと考えています。Recommender がどのように役立つかについて詳しくは、Next OnAir デジタル イベントで今後予定されている「Cloud is Complex. Managing it Shouldn’t Be(クラウドは複雑でも管理はシンプルに)」セッションをご覧ください。
- By シニア プロダクト マネージャー Chris Law、プロダクト マーケティング マネージャー Tom Nikl