Recommender は、ヒューリスティック メソッド、ML、現在のリソースの使用量に基づいて、Google Cloud でリソースを使用するための提案と分析情報を自動的に提供するサービスです。各推奨事項にはリンクが含まれています。クリックすると、サービスに対して推奨が有効になります。
このガイドでは、Recommender を使用して Cloud Run サービスのセキュリティと費用を最適化する方法について説明します。
費用を最適化する
Recommender は、CPU 割り当ての費用を最適化します。
CPU 割り当てを最適化する
Recommender は、過去 1 か月間に Cloud Run サービスが受信したトラフィックを自動的に調べ、料金が安い場合、リクエスト時に割り当てられる CPU から常に割り当てられる CPU に切り替えるよう推奨します。詳細については、CPU 割り当てをご覧ください。
セキュリティを最適化する
Recommender は、以下を最適化してセキュリティを強化します。
- Cloud Run サービスのサービス アカウント。これにより、サービス アカウントに必要最小限の権限セットが設定されます。
環境変数に含まれる次の項目のセキュリティ:
- パスワード
- API キー
- Google アプリケーション認証情報
Google では、これらの環境変数に含まれる値の検証を行いません。代わりに、次のように変数のキー名をチェックします。
- 大文字の KEY を含む環境変数(
API_KEY、APIKEYなど) PASSWORDで終わる大文字の環境変数GOOGLE_APPLICATION_CREDENTIALSという環境変数
Recommender が対応するセキュリティ問題
次の表に、Recommender で検出される内容と対処法を示します。
| 推奨事項 | アクション |
|---|---|
| サービス アカウントに必要な権限よりも多くの権限が付与されている可能性があります。 | Recommender により、最小限の権限セットで新しいサービス アカウントを構成するように指示されます。 |
| 環境変数にパスワードが含まれている可能性があります。 | Recommender により、パスワードを Secret Manager に移動するように指示されます。 |
| 環境変数に API キーが含まれている可能性があります。 | Recommender により、API キーを Secret Manager に移動するように指示されます。 |
| 環境変数に Google アプリケーションの認証情報が含まれている可能性があります。 | Recommender により、これをサービス ID に置き換えるように指示されます。 |
デプロイ後の推奨事項の提供
Recommender は、デプロイされてから一定の期間(通常は 1 日)が経過した後、サービスに対する推奨事項を自動的に提供します。この期間の終了後、Google Cloud コンソールの Cloud Run サービスリストと Recommendation Hub に、サービスに関する推奨事項が表示されます。
別の推奨事項の使用
Cloud Run UI では、このページで紹介した推奨事項を使用するだけでなく、以下からの推奨事項も利用できます。
Cloud Run の推奨事項を表示して承諾する
Cloud Run ユーザー インターフェースで推奨事項を表示して承諾するには:
[推奨事項] 列に項目があるサービスを見つけます。
[推奨事項] という見出しの下にあるサービスの [セキュリティ] アイコンをクリックし、サービスの推奨事項ペインを表示します。
ペインで、サービスに関する分析情報と推奨事項を確認します。
推奨事項を受け入れる場合は、ペインの下部にあるボタンをクリックして、推奨事項によって提案された変更を行います。
手順とドキュメントを参照して、Cloud Run サービスに必要な変更を行います。
おすすめハブに推奨事項を表示する
おすすめハブに推奨事項を表示するには:
詳しくは、おすすめハブのスタートガイド ページをご覧ください。