デベロッパー

Agent Factory のハイライト: Agent Sandbox と Pod スナップショットを使用して GKE 上のエージェントを強化する

2026年1月9日

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_HL5mMb7.max-2500x2500.png

Shir Meir Lador

Head of AI, Product DevRel

※この投稿は米国時間 2025 年 12 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

Agent Factory の最新エピソードでは、Mofi Rahman と私がホストを務め、GKE 上のエージェントワークロードに取り組むプロダクトマネージャー Brandon Royal を迎えました。適切なエージェントランタイムを選択する際の絶妙なポイント、エージェントに対する GKE の強み、インテリジェントエージェントによるコード実行時に不可欠なセキュリティ対策など、重要な問題について踏み込んだ話し合いができたと思っています。

この投稿では、今回の対談からの重要なアイデアをいくつか紹介します。なお、この投稿は、トピックをすばやく振り返ったり、リンクやタイムスタンプを使用して特定のセグメントを詳しく調べたりできるような構成になっています。

エージェント向けに GKE を選ぶ理由

タイムスタンプ: 01:49

私たちはまず、根本的な疑問について話し合いました。それは「Cloud Run のようなサーバーレスオプションや Agent Engine などのフルマネージドソリューションがある中で、なぜエージェントのランタイムに GKE を選ぶのか」というものです。

Brandon は、どの仕組みを選ぶかは制御性と利便性のどちらを重視するかによって決まると説明しました。基本的なエージェントにはサーバーレスオプションで十分ですが、数百、数千のエージェントが関わる大規模なシナリオでは、Kubernetes と GKE の柔軟性やガバナンス機能が不可欠になります。GKE が真価を発揮するのは、エージェントのデプロイをきめ細かく制御する必要がある場合です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/decisiontree.max-2200x2200.png

GKE 上の ADK

タイムスタンプ: 06:58

以前のエピソードで、Agent Development Kit（ADK）について話し合いました。その際に Mofi が、ADK が GKE とシームレスに統合される仕組みを示し、自身が構築したエージェントのデモも披露しました。ADK がエージェントのロジック、トレース、ツールを構築するためのフレームワークとなる一方で、GKE は堅牢なホスティング環境を提供します。ADK エージェントをコンテナ化して Google Artifact Registry に push すると、数分で GKE にデプロイできます。それにより、ローカルプロトタイプをグローバルにアクセス可能なサービスへと変換できるのです。

サンドボックスの問題

タイムスタンプ: 15:20

エージェントの高度化が進んでコードの生成や実行が可能になると、LLM で生成した信頼できないコードによって、重大なセキュリティ上の懸念が生じます。Brandon は、コードの実行は高性能エージェントや決定論的動作を実現するうえで欠かせないものの、マルチテナントシステムにおいては重大なリスクを伴うことも強調しました。このような話し合いを経て、「サンドボックス」のコンセプトにたどり着きました。

サンドボックスとは

タイムスタンプ: 19:18

Brandon は、セキュリティエンジニアリングにあまり馴染みのない方のために、サンドボックスとはカーネルやネットワークを隔離する仕組みであると説明しました。その後 Mofi が補足して、エージェントはスクリプト（データ分析用の Python など）の実行を必要とする場合が多いことを解説しました。サンドボックスがなければ、ハルシネーションを起こしたモデルやプロンプトインジェクションの影響を受けたモデルがメインサーバーで直接コードを実行した場合、データベースを削除したり、機密情報を盗んだりする可能性があります。サンドボックスは、他のシステムに悪影響を与えることなく、このようなコードを安全に実行できる隔離環境を構築します。

GKE 上の Agent Sandbox のデモ

タイムスタンプ: 20:25

それでは、Kubernetes はこの「高いフェンス」をどのように構築するのでしょうか。Brandon は、gVisor のような技術（アプリケーションカーネルサンドボックス）を活用した Kubernetes 上の Agent Sandbox を紹介しました。エージェントがコードを実行する必要がある場合、GKE は完全に隔離された Pod を動的にプロビジョニングします。この Pod は独自のカーネル、ネットワーク、ファイルシステムで動作し、悪意のあるコードを gVisor のバブル内に効果的に閉じ込めます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/agent_sandbox.max-1500x1500.png

Mofi が説得力のあるデモで Agent Sandbox の動作を説明し、ADK エージェントにコードの実行を必要とするタスクが与えられる様子も確認できました。エージェントがコードの実行を開始すると、GKE は「sandbox-executor」というラベルが付いた新しい Pod を動的にプロビジョニングし、リアルタイムの隔離を実証しました。Brandon は、この Pod は厳格なネットワークポリシーで構成されており、セキュリティが一段と強化されていることを強調しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/sandbox2.max-1700x1700.png

今後の予定: Pod スナップショット

タイムスタンプ: 29:39

Agent Sandbox は優れたセキュリティを備えていますが、タスクごとに新しい Pod をスピンアップする際のレイテンシが懸念されます。Mofi は、画期的なソリューションである Pod スナップショットのデモを行いました。この技術を活用すると、実行しているサンドボックスの状態を保存し、エージェントが必要とするタイミングで迅速に復元できます。Brandon は、数分かかっていた起動時間が数秒に短縮され、GKE 上のリアルタイムなエージェントワークフローに革命がもたらされると述べています。