Cloud Service
Cloud Workstations
Google Cloud のフルマネージドな開発環境サービス。クラウド上の安全な IDE 環境をすぐに用意できる。AWS の Cloud9 に相当。
基礎セキュリティ運用上の優秀性
最終更新: 2026-06-14公式ドキュメント ↗
TL;DR要点だけ先に
- 1.ブラウザや IDE から接続して使う、クラウド上のマネージド開発環境を提供する。
- 2.環境はコンテナイメージと VM 構成で定義し、VPC 内に閉じて社内ポリシーに沿わせられる。
- 3.未使用時は自動停止して課金を抑えつつ、再開時は数十秒で作業を再開できる。
解決する課題
開発者が手元のマシンに依存せず、誰でも同じ構成の開発環境(IDE)をクラウド上ですぐに使えるようになります。環境のセットアップやセキュリティ統制を運用チームが一元的に管理できます。
- 新メンバーのオンボーディングで、開発環境の構築に何日もかかる状況をなくしたい
- チーム全員で同一のツール・ランタイム・依存関係をそろえ、「自分の環境では動く」問題を防ぎたい
- ソースコードをローカルに置かせず、VPC 内のサーバー側だけで扱って情報漏えいリスクを下げたい
- 高性能 CPU・大容量メモリ・GPU など、ローカルでは用意しづらいスペックで開発したい
- 開発環境への接続・権限を IAM と組織ポリシーで統制したい
主要概念と用語
- ワークステーション(workstation): 開発者一人ひとりが使う実際の開発環境のインスタンス。起動・停止して使う
- ワークステーション構成(workstation configuration): ワークステーションのひな型(テンプレート)。使用する VM のマシンタイプ、コンテナイメージ、ディスク、ネットワーク、自動停止までのアイドル時間などをまとめて定義する
- ワークステーションクラスタ(cluster): ワークステーション群が稼働する基盤の単位。どの VPC ネットワーク・リージョンに置くかを決め、ネットワーク境界の起点になる
- コンテナイメージ: 開発環境の中身。Google 提供のベースイメージ(Code OSS など)をそのまま使うか、ツールを焼き込んだカスタムイメージを指定できる
- ベースイメージ: ブラウザで使える Code OSS(VS Code 互換)を含む既定のイメージ。JetBrains 系 IDE 向けのイメージも用意される
- 永続ディスク(home ディレクトリ): 停止・再起動をまたいで作業データを保持する領域。VM 本体が止まってもファイルは残る
- アイドルタイムアウト / 自動停止: 一定時間操作がないとワークステーションを自動で停止し、無駄な課金を止める設定
仕様・制限・クォータ
- 環境は 構成(テンプレート)→ ワークステーション の二層で管理する。構成を変えれば、そこから作られる環境の標準を一括で更新できる
- 接続はブラウザ(Code OSS)のほか、ローカルの VS Code / JetBrains 系 IDE からのリモート接続や SSH に対応する
- ワークステーションは起動状態の間だけ計算リソースを消費する。停止中は基本的に永続ディスク分のみ
- ホームディレクトリは永続ディスクに置かれ、VM の停止・再開をまたいで保持される。一方でディスク外に置いたデータは再起動で失われ得る
- マシンタイプ・GPU の有無・リージョンなどは構成で指定する。利用できるリソース量にはプロジェクト/リージョンごとのクォータがあり、必要に応じて引き上げ申請ができる
内部の仕組み
Cloud Workstations は、各ワークステーションを Compute Engine の VM 上で動くコンテナとして起動します。どの VM を使い、どのコンテナイメージを動かし、どの VPC につなぐかは「ワークステーション構成」に集約され、そこから個々のワークステーションが生成されます。
- 開発者が接続すると、構成に従って VM が起動し、その上で指定コンテナが立ち上がる。IDE(Code OSS など)はこのコンテナ内で動く
- ソースコードや作業ファイルは永続ディスク上のホームディレクトリに保存され、停止・再開をまたいで残る。VM 自体は使い捨てに近い扱い
- 一定時間アイドルだと自動停止し、再び接続すると数十秒程度で再開する。これにより常時課金を避けられる
- ネットワーク的にはクラスタが属する VPC の内側で動くため、社内の限定リソースにプライベートに到達でき、必要なら**プライベート接続(限定公開)**でパブリック IP を持たせない構成にできる
AWS でいえば、ブラウザ上のクラウド IDE を提供する AWS Cloud9 が最も近い相当サービスです。マシンスペックを自由に選べる点や VPC 内に閉じられる点は共通しますが、Cloud Workstations はコンテナイメージで環境を定義し、構成テンプレートでチーム全体に標準を配るという運用色が強いのが特徴です。
設計パターン / ベストプラクティス
- チームで使うツール・ランタイムを焼き込んだカスタムコンテナイメージを作り、構成で指定して全員の環境をそろえる
- 用途・チーム・本番/開発などで構成を分割し、それぞれに合ったマシンタイプとネットワークを割り当てる
- **アイドルタイムアウト(自動停止)**を適切に設定し、放置による無駄な課金を防ぐ
- 機密性が高いプロジェクトはプライベート(限定公開)構成にし、パブリック IP を持たせず VPC 内に閉じる
- 作業データは必ず**ホームディレクトリ(永続ディスク)**に置く運用とし、ディスク外の一時データは消える前提で扱う
- 環境定義(構成・イメージ)はコード化して管理し、再現性とレビュー可能性を確保する
運用・監視
- Cloud Audit Logs で、誰がいつワークステーションを作成・起動・接続したかを監査する
- Cloud Monitoring で起動状況やリソース使用量を把握し、想定外に起動しっぱなしの環境を検知する
- 起動が遅い・失敗する場合は、コンテナイメージのサイズや初期化処理、マシンタイプ、クォータ上限を確認する
- 接続できない場合は IAM ロール(後述)と、クラスタのネットワーク到達性(VPC・ファイアウォール・限定公開設定)を見直す
- コンテナイメージを更新したら、構成を更新して新しい環境に反映する。既存ワークステーションは再作成・再起動で取り込む
コスト
主に「ワークステーションが起動している間の計算リソース(VM・GPU)」と「永続ディスクの容量」に課金されます。加えてサービス自体の管理料金がかかる体系です。停止中は計算リソース分の課金が止まり、ディスク分が残るのが基本的な考え方です。
コストを抑える勘どころ
アイドルタイムアウト(自動停止)を短めに設定し、放置された環境が起動し続けるのを防ぐのが最大の節約ポイントです。用途に対して過剰なマシンタイプ・GPU を割り当てないこと、永続ディスクの容量を必要分に抑えることも効きます。
セキュリティ
- アクセス制御は Cloud IAM。ワークステーションを使える主体や、構成・クラスタを管理できる主体を事前定義ロールで最小権限に絞る
- ソースコードはサーバー側(VPC 内)にとどまり、ローカルに展開されないため、端末紛失や持ち出しによる漏えいリスクを下げられる
- 限定公開(プライベート)構成でパブリック IP を持たせず、VPC 内からのみ到達可能にできる。組織ポリシーと組み合わせて外部公開を抑止する
- 永続ディスクは保存時に暗号化され、要件に応じて CMEK(Cloud KMS 管理鍵) を使える
- VPC Service Controls と組み合わせ、開発環境を含むデータ境界を定義してデータ持ち出しを制限できる
アンチパターン
全開発者に広い管理権限を与え、誰でも自由に高スペックや外部公開(パブリック IP)構成のワークステーションを作れる状態は NG。 環境の作成・構成変更は運用チームに限定し、一般開発者には「割り当てられた環境を使う」権限だけを与えるなど、用途ごとに最小権限を徹底します。
Well-Architected の観点
- セキュリティ: コードを VPC 内に閉じ込め、IAM の最小権限・限定公開構成・CMEK・VPC Service Controls を組み合わせることで、開発環境からの情報漏えいを構造的に防ぐ
- 運用上の優秀性: コンテナイメージと構成テンプレートで環境を標準化・コード化し、オンボーディングと環境差異の解消を自動化。自動停止で運用コストとリソースの無駄を継続的に抑える
試験で問われるポイント
頻出
- Cloud Workstations は**マネージドなクラウド開発環境(IDE)**を提供し、AWS では Cloud9 に相当する
- 環境は ワークステーション構成(テンプレート)→ ワークステーション の二層で管理する点
- 開発環境はコンテナイメージで定義し、Google 提供のベースイメージ(Code OSS など)やカスタムイメージを使える
- ソースコードをローカルに置かず VPC 内(サーバー側)で扱えるため、漏えいリスク低減の文脈で選ばれる
- アイドル時の自動停止で起動時のみ課金し、コストを抑えられる
- 接続はブラウザのほかローカル IDE(VS Code / JetBrains)からのリモート接続や SSHに対応
- アクセス制御は IAM、データ境界の強化には VPC Service Controls を併用する
関連サービス・比較
| 観点 | Cloud Workstations(GCP) | AWS Cloud9 |
|---|---|---|
| 位置づけ | マネージドなクラウド開発環境 | クラウド上のブラウザ IDE |
| 環境の定義 | コンテナイメージ+構成テンプレート | EC2 もしくは既存サーバーに接続 |
| 既定の IDE | Code OSS(VS Code 互換)など | Cloud9 独自の Web IDE |
| 接続方法 | ブラウザ/ローカル IDE/SSH | 主にブラウザ |
| ネットワーク | VPC 内・限定公開に対応 | VPC 内に配置可能 |
| コスト最適化 | アイドル時に自動停止 | EC2 を自動停止する設定 |
| 権限制御 | Cloud IAM | AWS IAM |
ハンズオン / CLI例
# 1. ワークステーションクラスタを作成(VPC とサブネットを指定)
gcloud workstations clusters create my-cluster \
--region=asia-northeast1 \
--network="projects/PROJECT_ID/global/networks/my-vpc" \
--subnetwork="projects/PROJECT_ID/regions/asia-northeast1/subnetworks/my-subnet"
# 2. ワークステーション構成(テンプレート)を作成
# マシンタイプとアイドル自動停止までの時間を指定
gcloud workstations configs create my-config \
--cluster=my-cluster \
--region=asia-northeast1 \
--machine-type=e2-standard-4 \
--idle-timeout=1200s
# 3. 構成から個々のワークステーションを作成
gcloud workstations create my-workstation \
--cluster=my-cluster \
--config=my-config \
--region=asia-northeast1
# 4. ワークステーションを起動
gcloud workstations start my-workstation \
--cluster=my-cluster \
--config=my-config \
--region=asia-northeast1
# 5. ある利用者にこの環境を使う権限だけを付与
gcloud workstations add-iam-policy-binding my-workstation \
--cluster=my-cluster \
--config=my-config \
--region=asia-northeast1 \
--member="user:dev@example.com" \
--role="roles/workstations.user"
Google Cloud Service
Cloud Workstationsを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
開発者ツール
比較で見る軸
クラウド: Google Cloud / カテゴリ: 開発者ツール / 難易度: basic
導入後に効く点
環境はコンテナイメージと VM 構成で定義し、VPC 内に閉じて社内ポリシーに沿わせられる。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
数字・仕様の読み方
- クラウド
- Google Cloud
- カテゴリ
- 開発者ツール
- 難易度
- basic
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「開発者ツール / security」に近いか確認する。
- 強みである「ブラウザや IDE から接続して使う、クラウド上のマネージド開発環境を提供する。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。