検索を簡素化し、ドキュメントのエクスペリエンスを向上させるために、第 1 世代と第 2 世代のドキュメントを別々のセットに分割します。

実行環境のセキュリティ

すべての関数は、Cloud Functions の安全な実行環境内で、バージョニングされたランタイムイメージ上で実行されます。ランタイムイメージには、オペレーティングシステムライブラリ、言語ランタイム、その他のシステムパッケージが含まれています。Google は、すべての Cloud Functions ランタイムイメージを保持し、安定性テスト期間の後にセキュリティパッチとメンテナンス更新をリリースします。

ランタイムイメージ

各ランタイムには、gcr.io の公開リポジトリに、関連するランタイムイメージ（実行イメージとも呼ばれます）があります。ランタイム ID とそのランタイムイメージの一覧については、ランタイムをご覧ください。

ランタイムイメージを特定する

関数のビルドログを調べることで、関数の作成に使用されたランタイムイメージを特定できます。

ビルドログ内で google.run-image を検索します。これにより、関数のビルドに使用されたランタイムイメージのバージョンを記述したビルドステップのログエントリが得られます。たとえば、Nodejs 関数のログエントリは次のようになります。

{
  ...
  "textPayload": "Step #2 - \"build\": Adding image label google.run-image:
    us.gcr.io/gae-runtimes/buildpacks/nodejs20/run:nodejs20_20230924_20_6_1_RC00",
  ...
}

セキュリティ更新ポリシー

Cloud Functions には、次の 2 つのセキュリティ更新ポリシーがあります。

自動更新: ランタイム環境の更新とセキュリティパッチは、ランタイムイメージの新しいバージョンで公開されます。更新されたランタイムは、安定性と信頼性についてのテスト期間の後、すべての関数にロールアウトされ、ダウンタイムのない更新が行われます。セキュリティの自動更新は、Cloud Functions（第 1 世代）でのみ使用できます。
デプロイ時の更新: 特に明記されていない限り、更新とセキュリティパッチは、関数がデプロイまたは再デプロイされたときにのみランタイムに適用されます。デプロイ時の更新は、Cloud Functions（第 1 世代）と Cloud Functions（第 2 世代）の両方で使用できます。

関数の更新ポリシーを設定する

Cloud Functions（第 1 世代）を使用している場合は、次に示すように gcloud deploy コマンドに --runtime-update-policy フラグを含めることで、関数の更新ポリシーを変更できます。

  gcloud functions deploy FUNCTION_NAME \
    --runtime-update-policy=POLICY ...

次のように置き換えます。

FUNCTION_NAME は、関数の名前に置き換えます。
POLICY は automatic または on-deploy に置き換えます。

関数の更新ポリシーを調べる

関数の更新ポリシーは、次のコマンドで検査できます。

  gcloud functions describe FUNCTION_NAME \

ここで、FUNCTION_NAME は関数の名前です。

セキュリティの自動更新が有効になっている関数には、キー automaticUpdatePolicy があります。
デプロイ時に更新される関数には、キー onDeployUpdatePolicy があります。

自動更新後に使用されるランタイムイメージを特定する

自動更新を有効にすると、Cloud Functions は関数のランタイムイメージを、追加のセキュリティパッチと更新を含む新しいリビジョンと交換します。この変更は、関数のランタイムログに記載されます。

ランタイムログの runtime_version ラベルは、新しいランタイムイメージが関数で使用されることを表しています。自動的に更新された Nodejs 関数のログエントリは、次のようになります。

{
  ...
  "labels:" {
    runtime_version: nodejs20_20230924_20_6_1_RC00
    execution_id: ...
  }
  ...
}