Cloud Service
Active Assist
使用状況を機械学習で分析し、コスト・性能・セキュリティ・信頼性の改善点を推奨として自動提示する最適化提案ファミリー。配下に各種 Recommender を束ねる。AWS の Trusted Advisor 相当。
- 1.コスト・性能・セキュリティ・信頼性の改善点を横断的に提案する最適化ブランド。
- 2.配下に複数の Recommender と分析情報があり、推奨ハブで一覧できる。
- 3.提案するだけで自動適用はしない。確認・承認のうえ手動または自動化で適用する。
解決する課題
クラウドを運用し続けると、過剰なスペック、使われていないリソース、広すぎる権限、設定の不備などが少しずつ積み上がります。Active Assist は、各サービスの使用状況や構成を機械学習で分析し、改善点を「推奨(recommendation)」と「分析情報(insight)」として自動で提示する**最適化提案のファミリー(ブランド)**です。個々の分析エンジンである Recommender を束ね、コスト・性能・セキュリティ・信頼性といった複数の観点を横断的に棚卸しできます。
- スペックが過大/過小な VM など、コストや性能の無駄をまとめて洗い出したい
- 使われていないリソース(アイドル VM、未接続のディスクや IP)を見つけたい
- 広すぎる IAM 権限を、実際の使用実績にもとづいて絞りたい
- 設定ミスや構成上の弱点など、信頼性・セキュリティのリスクに気づきたい
- これらをサービス横断で一覧化し、推定の節約額や影響度とあわせてレビューしたい
主要概念と用語
- Active Assist: Google Cloud の最適化提案ファミリー全体のブランド名。配下に複数の Recommender と分析情報がぶら下がる
- Recommender(レコメンダー): 特定の最適化観点ごとに推奨を生成するエンジン。VM のマシンタイプ適正化、アイドル資源検出、IAM ロール適正化、確約利用割引(CUD)などがある
- 推奨(Recommendation): 「このリソースをこう変えると良い」という具体的な提案。多くは推定されるコスト削減額などの効果(impact)を伴う
- 分析情報(Insight): 推奨の根拠となる観測・分析結果。推奨が「対処」なら、インサイトは「気づき」にあたる
- 推奨ハブ(Recommendations Hub): コンソール上で各種推奨を横断的に確認できる集約ビュー
- 影響カテゴリ(Impact category): 各推奨が寄与する観点。コスト、パフォーマンス、セキュリティ、信頼性、管理性などに分類される
- 推奨の状態(State): ACTIVE(未対応)、CLAIMED(対応中)、SUCCEEDED/FAILED(適用結果)、DISMISSED(却下)といったライフサイクルを持つ
仕様・制限・クォータ
- Active Assist 配下の Recommender は提案を出すだけで、原則として変更を自動適用しない。適用するかどうかは利用者の判断(承認)に委ねられる
- 推奨は対象リソースの過去の使用状況を一定期間観測したうえで生成される。作りたてのリソースだと十分な推奨が出ないことがある
- 推奨はプロジェクト/ロケーション/Recommender 種別の単位で照会する。種別ごとに識別子(例:
google.compute.instance.MachineTypeRecommender)が決まっている - 適正化や CUD の削減額は推定値であり、実際の請求は使用状況の変動で変わりうる
- 推奨を見る/適用するには対象リソース側の権限に加え、Recommender 用の IAM ロールが必要
- API のレート上限などのクォータが存在し、必要なら引き上げ申請が可能
内部の仕組み
各 Google Cloud サービスのメトリクスや構成・利用ログを Recommender が定期的に分析し、ヒューリスティックや機械学習で「あるべき状態」とのギャップを推定します。分析の結果はまずインサイトとして蓄積され、対処可能なものが推奨へと変換されます。Active Assist はこれらを統一されたデータモデルとブランドのもとに束ね、推奨ハブや共通 API から横断的に扱えるようにしています。
- 推奨は状態機械(ACTIVE → CLAIMED → SUCCEEDED/FAILED など)で管理され、適用や却下に応じて状態が遷移する
- 推奨の生成は継続的に更新されるため、構成や使用量が変われば内容も更新・失効する
- 各推奨は影響カテゴリ(コスト/性能/セキュリティ/信頼性など)でタグ付けされ、観点ごとに絞り込める
Active Assist は基本的に気づきを提供するだけで、勝手にリソースを縮小したり権限を剥がしたりはしません。実際の最適化には、内容を確認したうえでの手動適用、あるいは自動化の作り込みが必要です。「有効にすれば自動で安くなる」サービスではない点に注意します。
設計パターン / ベストプラクティス
- まず推奨ハブで全社/全プロジェクトの推奨を棚卸しし、影響度の大きいものから着手する
- 影響カテゴリで絞り込み、コスト・性能・セキュリティ・信頼性それぞれの担当が自分の観点だけを見られるようにする
- VM はマシンタイプ適正化とアイドル資源検出を組み合わせ、無駄なリソースを定期的に掃除する
- IAM はロール適正化で、実際に使われていない権限を外して最小権限に近づける
- 推奨は BigQuery エクスポートで蓄積し、傾向分析やレポート化、FinOps の定例レビューに乗せる
- 重要な本番リソースはいきなり適用せず、まず検証環境やメンテナンス枠で影響を確認する
運用・監視
- 推奨の確認・適用はコンソール(推奨ハブ)、
gcloud recommender、または API から行う - 推奨が出ない → 対象リソースの観測期間が不足していないか、Recommender 種別やロケーション指定が正しいかを確認
- 権限エラー(
PERMISSION_DENIED)→ Recommender の閲覧/適用ロールと、変更先リソース側の操作権限の両方を確認 - 大規模な棚卸しは推奨を BigQuery にエクスポートし、プロジェクト横断で集計・可視化する
- 適用後は Cloud Monitoring で対象リソースの使用率や性能を観察し、過剰な縮小で問題が出ていないかを確認する
コスト
Active Assist 自体の利用(推奨の閲覧・適用)は、一般に追加料金なしで使えるのが基本です。価値は「提案に従って無駄を減らす」ことにあり、コスト系の推奨では削減効果が推定の節約額として提示されます。一方でセキュリティや信頼性の推奨は、コストではなくリスク低減という形で価値をもたらします。
| 影響カテゴリ | 代表的な推奨の例 | 得られる価値 |
|---|---|---|
| コスト | マシンタイプ適正化・確約利用割引 | 推定の節約額として無駄を可視化 |
| パフォーマンス | 過小スペックの是正提案 | リソース不足による性能劣化を防ぐ |
| セキュリティ | IAM ロールの未使用権限の検出 | 最小権限化で権限超過リスクを低減 |
| 信頼性 | 構成上の弱点や設定不備の指摘 | 可用性・運用リスクの早期発見 |
セキュリティ
- IAM Recommender / ポリシー分析情報は、実際の権限使用実績から過剰な権限を可視化し、最小権限化を後押しする
- 推奨の閲覧・適用は IAM ロールで制御する。閲覧系と適用系を分け、必要な人だけに付与する
- 推奨の適用は実リソースの変更を伴うため、適用権限は限られた運用者に絞り、誰がいつ適用したかを Cloud Audit Logs で追跡する
- 自動適用を組む場合は、サービスアカウントの権限を最小化し、ガードレール(対象の限定、ドライラン、承認フロー)を必ず挟む
推奨を無条件にスクリプトで一括自動適用するのは危険です。とくに IAM ロールの剥奪やアイドル判定された VM の削除は、観測期間外にしか動かないバッチや季節需要を無視して本番障害や権限不足を招きえます。重要リソースは確認・承認・段階適用を前提にし、自動化する場合も対象を限定してドライランから始めます。
関連サービス・比較
Active Assist は最適化提案を束ねるブランド/ファミリーであり、その中核となる分析エンジンが Recommender です。Active Assist が「どんな観点の推奨があるか」という全体像を指すのに対し、Recommender は個々の推奨を生成・照会する実体にあたります。
| 観点 | Active Assist | Recommender |
|---|---|---|
| 位置づけ | 最適化提案ファミリーのブランド名 | 推奨を生成する個々のエンジン |
| 範囲 | コスト/性能/セキュリティ/信頼性を横断 | 種別ごとに特定観点の推奨を担当 |
| 利用窓口 | 推奨ハブで横断的に確認 | 種別単位で API/CLI から照会 |
| AWS の相当 | Trusted Advisor 全体に近い | Compute Optimizer などの個別機能 |
ハンズオン / CLI例
# プロジェクトの「マシンタイプ適正化」推奨を一覧(特定ゾーン)
gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=asia-northeast1-a \
--recommender=google.compute.instance.MachineTypeRecommender \
--format="table(name, primaryImpact.category, stateInfo.state)"
# IAM ロール適正化の分析情報(未使用権限の気づき)を一覧
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.iam.policy.Insight \
--format="table(name, category, stateInfo.state)"
# 個別の推奨の中身(提案内容・推定効果)を確認
gcloud recommender recommendations describe RECOMMENDATION_ID \
--project=PROJECT_ID \
--location=asia-northeast1-a \
--recommender=google.compute.instance.MachineTypeRecommender
Google Cloud Service
Active Assistを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
管理・ガバナンス
比較で見る軸
クラウド: Google Cloud / カテゴリ: 管理・ガバナンス / 難易度: basic
導入後に効く点
配下に複数の Recommender と分析情報があり、推奨ハブで一覧できる。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- Google Cloud
- カテゴリ
- 管理・ガバナンス
- 難易度
- basic
- 関連資格
- —
- 設計柱
- cost / performance / security / operational
判断チェックリスト
- 自社の用途が「管理・ガバナンス / cost」に近いか確認する。
- 強みである「コスト・性能・セキュリティ・信頼性の改善点を横断的に提案する最適化ブランド。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。