|
1
|
1 \documentclass[9.5pt]{jarticle}
|
|
|
2 \usepackage[dvips,dvipdfmx]{graphicx}
|
|
|
3 \usepackage{multicol}
|
|
0
|
4 \usepackage{picins}
|
|
|
5 \usepackage{fancyhdr}
|
|
2
|
6 \usepackage{here}
|
|
|
7 %\usepackage{indentfirst}
|
|
0
|
8 \lhead{\parpic{\includegraphics[height=1zw,keepaspectratio,bb=0 0 251 246]{pic/emblem-bitmap.pdf}}琉球大学主催 工学部工学科知能情報コース 中間発表予稿}
|
|
1
|
9 \usepackage[top=2cm, bottom=2cm, left=1cm, right=1cm]{geometry}
|
|
0
|
10
|
|
|
11
|
|
|
12 \begin{document}
|
|
1
|
13
|
|
2
|
14 \title{情報工学科演習用のコンテナ技術を用いたサービスの設計・実装
|
|
|
15 Design and Implementation of service using container technology for Information science exercise}
|
|
1
|
16 \author{175733E 氏名 {宮平 賢}{Miyahira Ken} 指導教員 : {河野 真治} }
|
|
|
17 %\date{}
|
|
|
18
|
|
0
|
19 \maketitle
|
|
1
|
20 \begin{abstract}
|
|
|
21 情報技術の普及に伴い情報系の学生が課題や演習を行う学習環境が必要である。
|
|
2
|
22 学習環境を複数の学生に提供する方法として, VM や コンテナがある。
|
|
|
23 琉球大学工学部では VM 貸出サービスがある。
|
|
|
24 課題や演習によっては CPU より GPU が必要となる場合がある。
|
|
|
25 しかし, 本コースの VM 貸出サービスは GPU の共有に対応していない。
|
|
|
26 そこで, コンテナ仮想化技術を利用できる Docker と Kubernetes, Singularity を用いて, GPU を含む学習環境を提供する。
|
|
|
27 本稿では学習環境を提供するサービスの設計・実装を行う。
|
|
|
28
|
|
|
29 %この学習環境では, 課題や演習によっては並列処理により, CPU より GPU が必要となる場合がある。
|
|
|
30 %このような学習環境を複数の学生に提供する方法として, VM や コンテナがある。
|
|
|
31 %しかし, 琉球大学工学部で運用している VM 貸出サービスでは, GPU の共有に対応していない。
|
|
|
32 %また, PC 上からコンテナへの操作を可能にするために Kubernetes でのコンテナ作成にも対応する。
|
|
|
33 %コンテナ貸出サービスは LDAP で管理された学生のアカウントを使用することで, 適切にコンテナの管理を行う。
|
|
|
34 %本稿ではサービスを実装する上で必要な技術概要を延べ, サービスの設計・実装を行う。
|
|
|
35 \end{abstract}
|
|
|
36
|
|
|
37
|
|
|
38 \renewcommand{\abstractname}{Abstract}
|
|
|
39 \begin{abstract}
|
|
|
40 With the spread of information technology, there is a need for a learning environment in which information students can do assignments and exercises.
|
|
|
41 There are VMs and containers as a way to provide a learning environment for multiple students.
|
|
|
42 The Information science of the University of the Ryukyus has a VM rental service.
|
|
|
43 Some assignments and exercises require GPUs rather than CPUs.
|
|
|
44 However, the VM rental service in this course does not support GPU sharing.
|
|
|
45 Therefore, we provide a learning environment that includes GPUs using Docker, Kubernetes and Singularity, which can utilize container virtualization technologies.
|
|
|
46 In this paper, we design and implement a service that provides a learning environment.
|
|
1
|
47 \end{abstract}
|
|
|
48
|
|
|
49 \thispagestyle{fancy}
|
|
|
50
|
|
|
51 \begin{multicols*}{2}
|
|
2
|
52 \section{コンテナ技術を用いた学習環境の提供}
|
|
1
|
53 情報通信技術の普及に伴い学生が学ぶ学習環境が必要となる。その学習環境として VM や コンテナにより, 手軽に開発し試せる技術が普及している。
|
|
|
54 だが, 手元の PC 上で VM や コンテナを立ち上げ, 開発を行うことはできるが, VM や コンテナの使用には高性能 PC や 有料のクラウドサービスが必要になる場合がある。
|
|
|
55 この大きな負担を学生に負わせない仕組みが必要である。
|
|
|
56 \par
|
|
2
|
57 %琉球大学工学部工学科知能情報コースでは新たに人工知能やシステム開発などの先端技術を身につける講義や実験が設けられた。
|
|
|
58 %講義の演習や実験は学生の PC で環境を構築し実行する。
|
|
1
|
59 本コースでは希望する学生に学科のブレードサーバから仮想環境を貸出すサービスを行なっている。
|
|
2
|
60 貸出 VM スペックは CPU 1コア, メモリ 1GB, ストレージ 10GB である。
|
|
|
61 このスペックで不足する場合, 要望に応じてスペックの変更を行なっている。
|
|
|
62 だが, 貸出 VM でも課題によっては処理に時間がかかることがある。
|
|
|
63 例として, 人工知能の講義において課される課題においては CPU より GPU が必要となる場合がある。
|
|
1
|
64 しかし, 現在の VM 貸出サービスでは GPU の共有に対応していない。
|
|
|
65 VM 上で GPU を共有するには PCI パススルーを利用することで可能だが, PCI パススルーでは複数の VM に共有することができない。
|
|
2
|
66 そこで, GPU を含めた学習環境をコンテナ技術を用いて提供するサービスの設計・実装を行う。
|
|
|
67 %GPU が搭載されている PC は研究室によっては用意されているが, 研究室に所属していない学生は利用することができない。
|
|
|
68 %そのため, 本コースの学生が高性能な環境を利用できる新たな仕組みが必要である。
|
|
|
69 %\par
|
|
|
70 %学科のブレードサーバに搭載される GPU は VM の貸出サービスでは利用することができない。そこでコンテナ技術を利用する。
|
|
|
71 %コンテナ管理ソフトウェアである Docker\cite{docker} では NVIDIA Container Toolkit である nvidia-docker\cite{nvidia-docker} を利用することで, 複数のコンテナで GPU を共有することができる。
|
|
|
72 %Docker は基本的に root 権限で動作する。また一般ユーザが docker コマンドを使用するには docker グループに追加する必要がある。
|
|
|
73 %そのため Docker をマルチユーザ環境で使用すると, 他ユーザのコンテナを操作できるなどセキュリティ上の問題がある。\par
|
|
|
74 %そこで, 本論文では, Docker とマルチユーザ環境で利用しやすいコンテナプラットフォームである Singularity\cite{singu} を利用したコンテナ貸出サービスを設計・実装する。
|
|
|
75 %このコンテナ貸出サービスでは, Web コンソールからコンテナの管理をすることで他ユーザのコンテナへの操作をさせない。
|
|
1
|
76
|
|
|
77 \section{技術概要}
|
|
2
|
78 %本研究で使用した仮想化技術, コンテナ技術, また本コースで利用しているサービスについての概要を説明する。
|
|
1
|
79
|
|
|
80 \subsection{Docker}
|
|
|
81 Docker とは OS レベルの仮想化技術を利用して, ソフトウェアをコンテナと呼ばれるパッケージで提供する。またコンテナの実行だけでなく,
|
|
|
82 コンテナの実行に用いるイメージの作成, イメージを共有する仕組みを持つコンテナ管理ソフトウェアである。
|
|
|
83 コンテナの実行には Docker 社が提供している Docker Hub\cite{dockerhub} に登録されているイメージ, Dockerfile を用いて作成したイメージを利用することができる。
|
|
|
84 Dockerfile を用いることで, 必要なソフトウェアや各種設定を含んだイメージを作成できる。
|
|
|
85
|
|
|
86 \subsection{Kubernetes}
|
|
|
87 Kubernetes\cite{k8s} とは, アプリケーションのデプロイ, スケーリング, 及び管理を用意にするためのコンテナを動的管理するコンテナオーケストレーションである。
|
|
|
88 Kubernetes ではオブジェクトによりクラスターの状態を表現する。オブジェクトはコンテナだけでなく, ネットワークやストレージ, 接続ポリシーの望ましい状態を記述できる。
|
|
2
|
89 %本研究では以下のオブジェクトを主に利用する。
|
|
|
90 %\begin{itemize}
|
|
|
91 % \item Pod
|
|
|
92 % \begin{itemize}
|
|
|
93 % \item Kubernetes で作成, 管理できる最小単位。Pod 内に 1 つ以上のコンテナを起動できる。
|
|
|
94 % \end{itemize}
|
|
|
95 %
|
|
|
96 % \item ReplicaSet
|
|
|
97 % \begin{itemize}
|
|
|
98 % \item 安定した Pod の維持を行い, クラスタで必要な Pod 数を管理する。Pod のセルフヒーリングを行う。
|
|
|
99 % \end{itemize}
|
|
|
100 %
|
|
|
101 % \item Deployment
|
|
|
102 % \begin{itemize}
|
|
|
103 % \item ReplicaSet のロールアウトを図るなど, 管理を行う。
|
|
|
104 % \end{itemize}
|
|
|
105 %
|
|
|
106 % \item Service
|
|
|
107 % \begin{itemize}
|
|
|
108 % \item Pod にアクセスするための IP アドレスやポートを割り振る。
|
|
|
109 % \end{itemize}
|
|
|
110 %
|
|
|
111 % \item Ingress
|
|
|
112 % \begin{itemize}
|
|
|
113 % \item 外部からのアクセスを管理する。負荷分散, SSL 終端, 名前ベースの仮想ホスティングの機能を提供する。
|
|
|
114 % \end{itemize}
|
|
|
115 %
|
|
|
116 % \item Namespace
|
|
|
117 % \begin{itemize}
|
|
|
118 % \item 仮想クラスタとしてグループ化して取り扱える。
|
|
|
119 % \end{itemize}
|
|
|
120 %
|
|
|
121 % \item Role
|
|
|
122 % \begin{itemize}
|
|
|
123 % \item Kubernetes API の利用権限 Namespace ごとに定義する。
|
|
|
124 % \end{itemize}
|
|
|
125 %
|
|
|
126 % \item RoleBinding
|
|
|
127 % \begin{itemize}
|
|
|
128 % \item ユーザやグループに Role を関連付ける。
|
|
|
129 % \end{itemize}
|
|
|
130 %\end{itemize}
|
|
1
|
131
|
|
|
132 \subsection{Singularity}
|
|
2
|
133 Singularity とは, HPC クラスタ上で複雑なアプリケーションを実行するために開発されたコンテナプラットフォームである。
|
|
1
|
134 Singularity は マルチユーザに対応しており, コンテナ内での権限は実行ユーザの権限を引き継ぐため, ユーザに特別な権限の設定が必要ない。
|
|
|
135 またデフォルトで, \$HOME, /tmp, /proc, /sys, /dev がコンテナにマウントされ, サーバ上の GPU を簡単に利用できる。
|
|
|
136 Singularity のコンテナイメージは Docker Hub に登録されているイメージ, またはDockerfile から作成したイメージを変換することで利用することができる。
|
|
|
137
|
|
|
138 \subsection{GitLab}
|
|
|
139 GitLab\cite{gitlab} とは バージョン管理システムである Git のリポジトリマネージャである。
|
|
|
140 GitLab は GitHub と違い, オンプレミス環境に構築することができるため, 本コースでは GitLab を使用している。
|
|
|
141 本研究では GitLab の統合機能の GitLab CI/CD\cite{gitlabcicd}, また GitLab CI/CD と組み合わせて使用する GitLab Runner\cite{gitlabrunner} を利用する。\par
|
|
|
142 GitLab CI/CD は 継続的インテグレーション(CI)・継続的デリバリー(CD)を GitLab から利用することができる。
|
|
|
143 CI では GitLab のコードを定期的または自動的にビルド・テストを行う。CD は CI を拡張した機能であり, ビルドやテストだけでなくリリースの準備も行う。
|
|
|
144 %本コースでは, Operating System という講義で Mercurial と Jenkins を利用してコードのテストを行う課題などがある。
|
|
|
145 \par
|
|
|
146 GitLab Runner とは, ビルドのためのアプリケーションであり, GitLab CI と連携することで別の場所でビルドを動かすことができる。
|
|
|
147
|
|
2
|
148 %\subsection{Kernel-based Virtual Machine (KVM)}
|
|
|
149 %KVM\cite{kvm} とは, Linux 自体を VM の実行基盤として機能させるソフトウェアである。
|
|
|
150 %CPU の仮想化支援機能を必要とし, 完全仮想化により OS の仮想化環境を提供する。
|
|
|
151 %
|
|
|
152 %\subsection{ie-virsh}
|
|
|
153 %ie-virsh\cite{ie-virsh} とは, 本コースの Operating System という講義に向けに libvirt の CLI である virsh をラップし複数のユーザで利用することができる VM 管理ツールである。
|
|
|
154 %学生が手元の PC で作成した VM をブレードサーバ上にデプロイすることができる。
|
|
|
155 %
|
|
|
156 %\subsection{ie-docker}
|
|
|
157 %ie-docker とは Docker をラップし複数のユーザで利用することのできるコンテナ管理ツールである。
|
|
|
158 %利用する学生は ssh でブレードサーバへ接続し, ie-docker を使用してコンテナを操作することができる。
|
|
|
159 %
|
|
1
|
160 \subsection{digdog}
|
|
2
|
161 digdog\cite{digdog} とは Kubernetes を利用し Web コンソールからコンテナを作成することができるコンテナ貸出サービスである。
|
|
1
|
162 学生は学科アカウントを使用して Web サービスへログインし, 登録されている Docker イメージでコンテナを作成することができる。
|
|
|
163
|
|
|
164 \section{サービスの設計}
|
|
2
|
165 %サービスでは本コースの学生や教員がにコンテナ貸出を行う。このコンテナ貸出の構成を図\ref{fig:wm} に示し, 概要を以下で説明する。
|
|
|
166
|
|
|
167 サービスは本コースの学生や教員が利用する。そのため, ユーザが他のユーザのコンテナの削除などの操作を行えないように制限をするなどの, マルチユーザ環境へ対応する必要がある。
|
|
|
168 また, 管理者にコンテナで利用するイメージを用意してもらうのではなく, 利用したい学習環境をユーザが構築できる仕組みが必要である。
|
|
|
169 GPU を含む学習環境を提供するために, 複数のコンテナへ GPU を共有できる仕組み, またコンテナへのファイルの共有ができる仕組みが必要となる。
|
|
0
|
170
|
|
2
|
171 %コンテナによる学習環境にあたっては以下の用件が必要となる。
|
|
|
172 %
|
|
|
173 %\begin{itemize}
|
|
|
174 % \setlength{\parskip}{0cm} % 段落間
|
|
|
175 % \setlength{\itemsep}{0cm} % 項目間
|
|
|
176 % \item マルチユーザへの対応
|
|
|
177 % \item イメージを自由に作成できる
|
|
|
178 % \item GPU が利用できる
|
|
|
179 % \item コンテナへファイルの共有ができる
|
|
|
180 %\end{itemize}
|
|
|
181
|
|
|
182 \subsection{マルチユーザへの対応}
|
|
|
183 Docker は基本的に root 権限で動作する。また一般ユーザが docker コマンドを使用するには docker グループに追加する必要がある。
|
|
|
184 そのため docker グループに追加されたユーザは, 他ユーザのコンテナを操作できるなどセキュリティ上の問題がある。
|
|
|
185 \par
|
|
|
186 そこで, Web コンソールを用いて管理を行う。 Web コンソールには学科のアカウントを用いてログインし, コンテナの作成や操作を可能とする。
|
|
1
|
187 コンテナ作成は Docker コンテナと Kubernetes コンテナの 2つから選択することができる。
|
|
|
188 コンテナ作成を選択するとコンテナを作成するために必要な情報を入力する。入力する内容は表\ref{tb:wmcon} である。
|
|
2
|
189 作成時にコンテナ名をユーザのアカウント名で補完されるため, 他のユーザと被ることはない。
|
|
1
|
190
|
|
2
|
191 \begin{table}[H]
|
|
1
|
192 \begin{center}
|
|
|
193 \caption{コンテナ作成時の入力内容}
|
|
|
194 \begin{tabular}{c|l} \hline
|
|
|
195 ContainerName & コンテナ名 \\ \hline
|
|
|
196 Image & Docker イメージ \\ \hline
|
|
|
197 Environments & コンテナ作成時の環境変数 \\ \hline
|
|
|
198 GuestPort & コンテナが使用するポート番号 \\ \hline
|
|
|
199 GPU & GPU を使用するか \\ \hline
|
|
|
200 \end{tabular}
|
|
|
201 \label{tb:wmcon}
|
|
|
202 \end{center}
|
|
|
203 \end{table}
|
|
|
204
|
|
2
|
205 %\subsection{コンテナの作成}
|
|
|
206 %学生または教員は学科アカウントで Web コンソールへログインする。Web コンソールでは ユーザのコンテナ一覧や Docker イメージ一覧を確認することができる。
|
|
|
207 %コンテナ作成は Docker コンテナと Kubernetes コンテナの 2つから選択することができる。
|
|
|
208 %コンテナ作成を選択するとコンテナを作成するために必要な情報を入力する。入力する内容は表\ref{tb:wmcon} である。
|
|
|
209 %コンテナ名にはユーザのアカウント名が補完されるため, 他のユーザと被ることはない。
|
|
|
210 %Docker イメージには Docker Hub に登録されているイメージや, ユーザが作成したイメージを入力することができる。
|
|
|
211 %環境変数とゲストポートはスペース区切りで複数入力することができる。
|
|
|
212 %また, コンテナ内で GPU を使用するにはチェックボックスにチェックを入れる。
|
|
|
213 %ホストポートは, エフェメラルポートの範囲から設定される。ユーザは設定されたホストポートを使用してコンテナのサービスへアクセスする。
|
|
|
214 %また, ユーザは Docker コンテナに対しては Web コンソールから, Kubernetes コンテナには手元の PC から操作することができる。
|
|
|
215 %必要なくなったコンテナは Web コンソールのコンテナ一覧から削除することができる。
|
|
|
216 %
|
|
|
217 %\begin{table}[H]
|
|
|
218 % \begin{center}
|
|
|
219 % \caption{コンテナ作成時の入力内容}
|
|
|
220 % \begin{tabular}{c|l} \hline
|
|
|
221 % ContainerName & コンテナ名 \\ \hline
|
|
|
222 % Image & Docker イメージ \\ \hline
|
|
|
223 % Environments & コンテナ作成時の環境変数 \\ \hline
|
|
|
224 % GuestPort & コンテナが使用するポート番号 \\ \hline
|
|
|
225 % GPU & GPU を使用するか \\ \hline
|
|
|
226 % \end{tabular}
|
|
|
227 % \label{tb:wmcon}
|
|
|
228 % \end{center}
|
|
|
229 %\end{table}
|
|
|
230
|
|
1
|
231 \subsection{イメージの作成}
|
|
2
|
232 Docker イメージの作成は学科で使用している GitLab の CI/CD の CI 機能を利用する。ユーザがイメージを作成する流れを図\ref{fig:gitlab} に示す。
|
|
1
|
233 ユーザは学科 GitLab から CI トークンを取得し, Web コンソールに取得したトークンをセットする。この時 Docker 側に GitLab Runner の立ち上げを依頼する。
|
|
|
234 トークンの設定後, Web コンソールから CI 用の YAML ファイルをダウンロードし Dockerfile と一緒に学科 GitLab のリポジトリにプッシュする。
|
|
2
|
235 GitLab にプッシュした Dockerfile が GitLab Runner 上でビルドされる。
|
|
|
236 ビルドの成否は GitLab から確認することができ, 作成されたイメージは Web コンソールから確認することができる。
|
|
|
237 GitLab の CI/CD 機能を利用することで, 学生に権限を与えることなくイメージの作成を行うことが可能となる。
|
|
|
238
|
|
|
239 %Docker イメージのビルドが成功すると Web コンソールのイメージ一覧で確認ができる。作成した Docker イメージは編集からイメージの使い方の記述や他の学生に共有するか設定を行える。
|
|
|
240 %必要なくなったイメージは Web コンソールのイメージ一覧から削除することができる。
|
|
1
|
241
|
|
2
|
242 \begin{figure}[H]
|
|
|
243 \begin{center}
|
|
|
244 \includegraphics[width=95mm]{Images/gitlab.pdf}
|
|
|
245 \end{center}
|
|
|
246 \caption{イメージの作成}
|
|
|
247 \label{fig:gitlab}
|
|
|
248 \end{figure}
|
|
|
249
|
|
|
250 \subsection{GPU の利用}
|
|
|
251 Docker では NVIDIA Container Toolkit である nvidia-docker\cite{nvidia-docker} を利用する。
|
|
|
252 GPU を利用するための環境が整っている nvidia/cuda を用いてイメージの作成を行う。
|
|
|
253 作成したイメージをコンテナ作成時の表\ref{tb:wmcon} の Docker イメージに入力する。
|
|
|
254 また GPU を利用するかのチェックを入れることで, コンテナへ GPU を共有することが可能となる。
|
|
|
255
|
|
|
256 \subsection{ファイルの共有}
|
|
1
|
257 コンテナに大量のデータを送信する必要がある場合や, データを永続化させたい場合に Singularity を利用する。
|
|
|
258 Singularity はユーザ権限で動作することから, 学生が ssh でブレードサーバへ接続し利用する方が適している。
|
|
2
|
259 Singularity は Docker イメージを変換し使用できる。
|
|
|
260 だが, イメージの変換には sudo 権限が必要となる。
|
|
|
261 %Docker イメージの変換を申請性にすると, 管理者の仕事が増え, またユーザも利用しづらい。
|
|
1
|
262 そこで, Web コンソールから Singularity 用のイメージをダウンロードできる仕様とする。\par
|
|
|
263 ユーザは利用したいイメージをダウンロードし, ブレードサーバへ送信して Singularity を使用する。Singularity を利用する流れを図\ref{fig:singu} に示す。
|
|
|
264
|
|
2
|
265 \begin{figure}[H]
|
|
|
266 \begin{center}
|
|
|
267 \includegraphics[width=80mm]{Images/singularity.pdf}
|
|
|
268 \end{center}
|
|
|
269 \caption{Singularityの利用}
|
|
|
270 \label{fig:singu}
|
|
|
271 \end{figure}
|
|
|
272
|
|
|
273 \section{サービスの実装}
|
|
|
274 %本コースでは学科システムを教員の指導の下, 学生主体でシステム管理チームと呼ばれる組織によって構築・運用・管理が行われている。
|
|
|
275 %学科システムはブレードサーバを 4 台, SAN 用ストレージと汎用ストレージをそれぞれ 2台ずつ導入している。本コースの基幹サービスはこのブレードサーバの仮想環境上で VM として動作している。
|
|
|
276 %新たにサービスを実装するとなると, システム管理チームが運用・管理を行いやすい実装にする必要がある。\par
|
|
|
277 %Web コンソールや Docker の操作を 1 つにまとめると, Docker コンテナの作成が 1台のブレードサーバのみになってしまう。
|
|
|
278 %そこで, コンテナ貸出システムは, 機能ごとに以下の 3 つにサービスに分ける。
|
|
|
279 %Docker や Kubernetes の操作を HTTP API で提供することにより, リクエスト先を変更することで複数のブレードサーバにコンテナを分散することができる。
|
|
|
280 %だが, 現時点では未実装である。
|
|
|
281
|
|
|
282 サービスのシステム構成を図\ref{fig:wm} に示す。
|
|
|
283 Web コンソールで Docker や Kubernetes の操作をまとめるのではなく, 機能ごとに以下の 3 つにサービスを分ける。
|
|
|
284 Web コンソールから HTTP API で各機能へリクエストを送信し操作を行う。
|
|
|
285 \par
|
|
|
286 実装にはDocker や Kubernetes の実装言語であり, 操作するためのライブラリが揃っている Go 言語を使用する。
|
|
|
287 \begin{itemize}
|
|
|
288 \setlength{\parskip}{0cm} % 段落間
|
|
|
289 \setlength{\itemsep}{0cm} % 項目間
|
|
|
290 \item Web コンソール
|
|
|
291 \item Docker の操作
|
|
|
292 \item Kubernetes の操作
|
|
|
293 \end{itemize}
|
|
|
294
|
|
1
|
295 \begin{figure*}[tb]
|
|
|
296 \begin{center}
|
|
|
297 \includegraphics[width=100mm]{Images/whalemountain.pdf}
|
|
|
298 \end{center}
|
|
|
299 \caption{システム構成}
|
|
|
300 \label{fig:wm}
|
|
|
301 \end{figure*}
|
|
|
302
|
|
|
303 \subsection{Web コンソール}
|
|
|
304 Web コンソールは本コースの学生や教員が利用するため, 学科アカウントでログインできる必要がある。学科の LDAP サーバを利用して学科アカウントで LDAP 認証を実装する。\par
|
|
2
|
305 %Docker の操作や Kubernetes の操作を行う HTTP API はセッション管理を行わないため, Web コンソールで管理する必要がある。
|
|
|
306 Docker の操作や Kubernetes の操作を行う機能では, ユーザの管理を行わないため Web コンソールで管理する必要がある。
|
|
1
|
307 そのため, ユーザのコンテナやイメージの情報をデータベースに格納して管理する。
|
|
2
|
308 ユーザがコンテナやイメージの操作を行う時は, 紐づけられたアカウントID の確認を行うことで, 他のユーザのコンテナやイメージの操作を制限する。
|
|
|
309 %ユーザが作成する Docker イメージの情報を取得しユーザのアカウントID と紐付けを行う。また, 作成した Docker イメージは共有することができ, 共有されたイメージはユーザのイメージ一覧とは別の一覧で確認することができる。
|
|
|
310 %ユーザはコンテナ作成時にイメージを入力することができる。この時, 他のユーザが作成したイメージの場合, そのイメージが共有されたイメージなのか確認を行うことで, 非共有に設定されたイメージではコンテナの作成はできない。
|
|
|
311 %コンテナの操作を行う時, コンテナに紐づけられたアカウントID との確認が行われることで, 他のユーザのコンテナを操作することはできない。
|
|
|
312 %同様にイメージの削除を行う時にもアカウントID の確認が行われる。
|
|
1
|
313
|
|
|
314 \subsection{Docker の操作}
|
|
|
315 Docker は Docker Engine API を提供している。Docker デーモンは指定した IP アドレスと ポート を リッスンする。 IP アドレスと ポートの指定を行うことで外部から Docker の操作が可能になる。
|
|
|
316 だが, Dockr デーモンが稼働しているホスト上の root アクセスを得られるため, 推奨されてない。
|
|
|
317 また, 本研究で実装するサービスでは Docker のすべての操作を必要としない。そこで, Docker の操作を行うための SDK \cite{sdk} を使用し, 必要な機能のみを実装する。\par
|
|
|
318 サービスを提供する上で Docker の必要となる操作は以下である。
|
|
|
319 \begin{itemize}
|
|
2
|
320 \setlength{\parskip}{0cm} % 段落間
|
|
|
321 \setlength{\itemsep}{0cm} % 項目間
|
|
1
|
322 \item コンテナの作成
|
|
|
323 \item コンテナの削除
|
|
|
324 \item コンテナでのコマンド実行
|
|
|
325 \item コンテナへファイル送信
|
|
|
326 \item イメージ一覧の取得
|
|
|
327 \item イメージの削除
|
|
|
328 \end{itemize}
|
|
0
|
329
|
|
2
|
330 Web コンソールから JSON 形式でリクエストを受信する。このリクエストを元に上記の操作を行う。
|
|
|
331 だが, ファイルの送信では JSON 形式ではなく, multipart/form-data 形式でリクエストを受ける。
|
|
|
332
|
|
|
333 %コンテナは, 表\ref{tb:wmcon} で入力した情報を下に作成を行う。コンテナ名は Web コンソールからリクエストを送るタイミングで補完される。
|
|
|
334 %また, コンテナが属するネットワーク名も補完される。リクエストは JSON 形式でやり取りを行う。
|
|
|
335 %リクエストからコンテナを作成後, 作成したコンテナID やネットワークID, コンテナのステータスを返却する。
|
|
|
336 %返却したコンテナID やネットワークID を下にコンテナ削除やコマンドの実行, ファイルの送信を処理する。
|
|
|
337 %ファイルの送信では JSON 形式ではなく multipart/form-data 形式でリクエストを受ける。
|
|
|
338 %ユーザが作成するコンテナとは別に, GitLab CI/CD で Docker イメージをビルドするための GitLab Runner を立てる必要がある。
|
|
|
339 %立ち上げはユーザが Web コンソールで CD トークンの設定時に行われる。GitLab Runner をユーザごとに立ち上げることで, 複数のユーザが同時にビルドを行うことができる。\par
|
|
|
340 %Docker イメージは GitLab CI/CD を利用して作成するが, ビルドが成功したかを判断することはできない。
|
|
|
341 %そのため, Web コンソール側から 5 分に一度イメージの更新リクエストを受け, Docker イメージの一覧をリストにまとめ返却を行う。\par
|
|
1
|
342
|
|
|
343 \subsection{Kubernetes の操作}
|
|
|
344 Docker と同様に Kubernetes のすべての操作を必要としないため, Kubernetes と対話するためのライブラリである client-go \cite{kubecli} を使用し, 必要な機能のみを実装する。
|
|
|
345 サービスを提供する上で Kubernetes の必要となる操作は以下である。
|
|
|
346
|
|
|
347 \begin{itemize}
|
|
2
|
348 \setlength{\parskip}{0cm} % 段落間
|
|
|
349 \setlength{\itemsep}{0cm} % 項目間
|
|
1
|
350 \item コンテナの作成
|
|
|
351 \item コンテナの削除
|
|
|
352 \item 認証トークンの取得
|
|
|
353 \end{itemize}
|
|
|
354
|
|
2
|
355 Docker と同様に Web コンソールから JSON 形式でリクエストを受信し, リクエストを元に上記の操作を行う。
|
|
|
356 Kubernetes ではコンテナへのコマンドの実行やファイルの送信は実装せず, 認証のトークンを取得する機能を実装する。
|
|
|
357 Kubernetes では, Kubernetes API の利用権限 Namespace ごとに定義する Role, ユーザやグループに Role を関連付ける RoleBinding がある。
|
|
|
358 この Role と RoleBinding を用いた Role-based access control (RBAC) を利用することで手元の PC からコンテナに対して操作を行うことが可能となる。
|
|
|
359 そのため, RBAC への認証トークンを取得する。RBAC で許可するリソースの操作は表\ref{tb:wm} である。
|
|
1
|
360
|
|
2
|
361 %Kubernetes でのコンテナ作成は Pod を作成することである。 Kubernetes でのコンテナ作成は Namespace, Deployment, Service,
|
|
|
362 %Ingress の流れでオブジェクトを作成する。コンテナの作成は Docker と同様に表\ref{tb:wmcon} の情報を下に作成する。
|
|
|
363 %作成するそれぞれのオブジェクト名は Web コンソールでコンテナ名とアカウントID で補完される。また, Namespace はアカウントID となる。
|
|
|
364 %コンテナの削除にはそれぞれのオブジェクト名と Namespace を用いる。\par
|
|
|
365 %Kubernetes で作成したコンテナは Web コンソールからコマンドの実行やファイルの送信などの操作を行わず, Role と RoleBinding を用いた Role-based access control (RBAC)
|
|
|
366 %を利用することで手元の PC より操作を行うこととする。
|
|
|
367 %RBAC で使用する認証トークンはユーザごとに作成された Namespace に設定されるトークンを返すことで, 他のユーザが認証することはできない。
|
|
|
368 %またアクセス制御は Namespace ごとに設定されることで, 他のユーザのコンテナを操作することはできない。
|
|
|
369 %RBAC で許可するリソースの操作は表\ref{tb:wm} である。
|
|
|
370
|
|
|
371 \begin{table}[H]
|
|
1
|
372 \begin{center}
|
|
|
373 \caption{kubectl のコマンド}
|
|
|
374 \begin{tabular}{c|l} \hline
|
|
|
375 get & Pod, Deployment, Service, Ingress の一覧を表示する \\ \hline
|
|
|
376 log & Pod の Log を表示する \\ \hline
|
|
|
377 exec & Pod にアクセスする \\ \hline
|
|
|
378 cp & Pod にファイルを送信する \\ \hline
|
|
|
379 \end{tabular}
|
|
|
380 \label{tb:wm}
|
|
|
381 \end{center}
|
|
|
382 \end{table}
|
|
0
|
383
|
|
1
|
384 %\section{サービスの評価}
|
|
|
385
|
|
2
|
386 %\section{他のサービスとの比較}
|
|
|
387 %今回作成した Web サービスは主に学生の学習環境をコンテナ技術を利用して提供する。
|
|
|
388 %そこで, これまで本コースで使用されてきたサービス, また近年普及しているクラウドサービスと比較する。
|
|
|
389 %
|
|
|
390 %\subsection{ie-virsh}
|
|
|
391 %ie-virsh は手元の PC で作成した VM を学科のブレードサーバにデプロイできるサービスである。
|
|
|
392 %ie-virsh は ユーザの UID 及び GID 情報を取得することで, 他のユーザの VM を操作させない。表\ref{tb:ie-virsh}は ユーザが利用できる ie-virsh の機能である。
|
|
|
393 %ie-virsh では VM の実行環境を提供するため, ユーザが好みの VM を構築できるなど自由度が高い。\par
|
|
|
394 %本研究で実装したサービスでは, コンテナ作成に使用する Docker イメージで構築されたアプリケーションに限定される。
|
|
|
395 %また, ユーザが欲しい環境は Docker イメージを作成しなければいけないため, Docker について学習する必要がある。
|
|
|
396 %だが, コンテナは VM と違い開発環境やテスト環境の構築の容易さや, 他のユーザにイメージを共有することで同じ環境を利用することができるなどの良さがある。
|
|
|
397 %
|
|
|
398 %\begin{table}[htb]
|
|
|
399 % \begin{center}
|
|
|
400 % \caption{ie-virsh のコマンド}
|
|
|
401 % \begin{tabular}{c|l} \hline
|
|
|
402 % define & XML の template を下に domain を作成 \\ \hline
|
|
|
403 % undefine & define で作成した domain を削除 \\ \hline
|
|
|
404 % list & define で作成した domain の一覧表示 \\ \hline
|
|
|
405 % start & 指定した domain 名の VM を起動 \\ \hline
|
|
|
406 % destroy & 指定した domain 名の VM を停止 \\ \hline
|
|
|
407 % dumpxml & domain の XML を参照 \\ \hline
|
|
|
408 % \end{tabular}
|
|
|
409 % \label{tb:ie-virsh}
|
|
|
410 % \end{center}
|
|
|
411 %\end{table}
|
|
|
412 %
|
|
|
413 %\subsection{ie-docker}
|
|
|
414 %ie-docker は Docker をラップしたツールであり, ユーザは学科のブレードサーバへ ssh で接続を行い CUI から利用することができる。
|
|
|
415 %ie-docker は ユーザの UID 及び GID 情報を取得することで, 他のユーザのコンテナを操作させない。
|
|
|
416 %表\ref{tb:ie-docker} は ie-docker で利用できる機能である。
|
|
|
417 %この機能を使用しコンテナ作成などの操作を行うことができる。
|
|
|
418 %だが, ie-docker ではユーザがコンテナで使用するイメージを管理者が用意する必要がある。
|
|
|
419 %そのため, コンテナで使用したいイメージが用意されていないなどの問題があった。\par
|
|
|
420 %本研究で実装したサービスでは, コンテナで使用するイメージは Docker Hub に登録されているイメージ, または作成したイメージを利用することができる。
|
|
|
421 %ユーザが Docker イメージを作成できることで管理者の負担が少なくなると考える。
|
|
|
422 %
|
|
|
423 %\begin{table}[htb]
|
|
|
424 % \begin{center}
|
|
|
425 % \caption{ie-docker のコマンド}
|
|
|
426 % \begin{tabular}{c|l} \hline
|
|
|
427 % ps & 起動中のコンテナの一覧を表示する \\ \hline
|
|
|
428 % run & コンテナを作成する \\ \hline
|
|
|
429 % start & コンテナを起動する \\ \hline
|
|
|
430 % stop & コンテナを停止する \\ \hline
|
|
|
431 % attach & 起動しているコンテナに attach する \\ \hline
|
|
|
432 % cp & コンテナにファイルを送信する \\ \hline
|
|
|
433 % rm & コンテナを削除する \\ \hline
|
|
|
434 % \end{tabular}
|
|
|
435 % \label{tb:ie-docker}
|
|
|
436 % \end{center}
|
|
|
437 %\end{table}
|
|
|
438 %
|
|
|
439 %\subsection{digdog}
|
|
|
440 %digdog は Kubernetes を利用したコンテナ貸出サービスである。
|
|
|
441 %学生は Dockerfile を GitLab CI/CD を利用してビルドし, 学科の GitLab Container Registry に Docker イメージを登録する。
|
|
|
442 %Web コンソールからコンテナ作成で使用するイメージは, 登録したイメージから選択することができる。
|
|
|
443 %Kubernetes 上にコンテナを作成するため, 学生の入力を下に Deployment, Service, Ingress の作成を行う。
|
|
|
444 %また, Namespace はユーザのアカウントID で作成され, Namespace ごとに RBAC の設定がされている。
|
|
|
445 %そのため, 学生は手元の PC から Web コンソールから作成したコンテナを操作することができる。
|
|
|
446 %表\ref{tb:digdog} は RBAC で許可されているリソースの操作である。\par
|
|
|
447 %本研究のサービスは digdog を参考に実装されている。そのため, Kubernetes でのコンテナ作成は digdog と同じ流れで作成を行う。
|
|
|
448 %だが, digdog では Docker Hub に登録されているイメージを選択することができない。
|
|
|
449 %また, Kubernetes でのコンテナ貸出のため, Kubernetes クラスター上の Master が停止するとサービスを提供できないなどの課題があった。
|
|
|
450 %本研究のサービスでは, Kubernetes でのコンテナの作成だけでなく, Docker でのコンテナの作成にも対応することで, Docker のみでサービスの提供ができるように改良を行った。
|
|
|
451 %また, コンテナ作成時のイメージを選択ではなく入力にすることで, Docker Hub に登録されているイメージを利用できるように改良を行った。
|
|
|
452 %
|
|
|
453 %\begin{table}[htb]
|
|
|
454 % \begin{center}
|
|
|
455 % \caption{kubectl のコマンド}
|
|
|
456 % \begin{tabular}{c|l} \hline
|
|
|
457 % get & Pod の一覧を表示する \\ \hline
|
|
|
458 % log & Pod の Log を表示する \\ \hline
|
|
|
459 % exec & Pod にアクセスする \\ \hline
|
|
|
460 % \end{tabular}
|
|
|
461 % \label{tb:digdog}
|
|
|
462 % \end{center}
|
|
|
463 %\end{table}
|
|
|
464 %
|
|
|
465 %\subsection{クラウドサービス}
|
|
|
466 %近年様々なクラウドサービスが普及し手元の PC から高性能なクラウド環境を利用することができる。
|
|
|
467 %だが, クラウドサービスは無料から有料まであり。無料では時間制限や容量制限など様々な制限がある。
|
|
|
468 %また有料だと設定のミスにより高額な請求がくるなど, 気軽に利用しづらい。
|
|
|
469 %そのため, 本サービスはオンプレミス環境で実装を行った。
|
|
|
470 %オンプレミス環境にすることで利用の制限がなく, サービスで使用するデータを自身で管理できるなどの良さがある。
|
|
|
471 %だが, クラウドサービスと違い物理サーバなどのメンテナンスや, サービスの導入にあたって環境構築などの課題がある。
|
|
|
472 %しかし, オンプレミスで運用していくことで, 学生の学習に繋がると考える。
|
|
0
|
473
|
|
1
|
474 \section{今後の課題}
|
|
|
475 本研究で実装したサービスでは学生が学習環境として利用するには, まだ必要な実装が不足している。\par
|
|
2
|
476 本サービスでは, 大量のデータを用いる時に Singularity を使用できる環境を用意している。
|
|
|
477 だが, Web コンソールから作成した Docker や Kubernetes のコンテナではデータの永続化に対応していないため, コンテナの削除で削除されてしまう。
|
|
|
478 そこで, 学科のサーバでは学生ごとのディレクトリにマウントするなどの対策を行う必要がある。
|
|
|
479 \par
|
|
1
|
480 本サービスでは, 学生が自由に Docker イメージを作成できる。また, Docker イメージを Singularity 用のイメージに変換する。
|
|
2
|
481 そのため, イメージの容量でブレードサーバのストレージを圧迫してしまう可能性があることから, あまり利用されていないイメージは定期的に削除する必要がある。
|
|
|
482 \par
|
|
|
483 次にネットワークの設定である。
|
|
|
484 作成したコンテナへのアクセスには, コンテナが動作しているサーバの IP アドレス, 設定されたポート番号を使用する。
|
|
|
485 そのため, 外部からアクセスなどに対応することができない。そこで, コンテナごとに IP アドレスを設定するなどの対策が必要である。
|
|
|
486 \par
|
|
1
|
487 また, 本サービスではユーザごとにリソースの制限を行っていないため, 過剰なリソースの占有を防ぐための対策をする必要がある。
|
|
2
|
488 GPU などの負荷がかかるプログラムの実行で使用されるリソースにはジョブ管理ソフトウェアなどで対策をとる。\
|
|
1
|
489
|
|
2
|
490 %学科のブレードサーバでは学生ごとのディレクトリがある。
|
|
|
491 %Docker ではそのディレクトリをコンテナ立ち上げ時にマウントすることで, コンテナ内のデータの永続化に対応できる。
|
|
|
492 %また, Kubernetes では Peresistent Volumes という永続ボリュームの仕組みがある。この Peresistent Volumes をユーザごとに管理することで, コンテナ内のデータの永続化に対応できる。
|
|
|
493 %このような対策でコンテナ内のデータの永続化に対応できるが, コンテナごとにデータの保存場所が違うなどの問題があるため, データを管理する仕組みが必要だと考える。\par
|
|
|
494 %本サービスでは, 学生が自由に Docker イメージを作成できる。また, Docker イメージを Singularity 用のイメージに変換する。
|
|
|
495 %そのため, イメージの容量でブレードサーバのストレージを圧迫してしまう可能性があることから, 定期的にイメージを削除する必要がある。
|
|
|
496 %また, 本サービスではユーザごとにリソースの制限を行っていないため, 過剰なリソースの占有を防ぐための対策をする必要がある。
|
|
|
497 %GPU などの負荷がかかるプログラムの実行で使用されるリソースにはジョブ管理ソフトウェアなどで対策をとる。\par
|
|
|
498 %本サービスは Docker Hub に登録されている Dokcer イメージを利用できるが, Docker Hub は誰でもイメージを登録することができる。
|
|
|
499 %そのため, Docker Hub に登録されているイメージにマルウェアが仕込まれている可能性がある。
|
|
|
500 %イメージの取得時にスキャンを行うなど, セキュリティ対策を考える必要がある。
|
|
|
501
|
|
|
502 %\section{まとめ}
|
|
|
503 %本稿では, 本コースで利用する新規サービスの設計と実装, また本コースで利用しているサービスとの比較を行った。
|
|
|
504 %学生がコンテナ技術を用いて学習環境を利用できるサービスの設計をし, マルチユーザ環境に対応した実装をすることができた。
|
|
|
505 %学生は学科アカウントを持っていれば, Web コンソールからコンテナの作成ができる。
|
|
|
506 %また, GitLab CI/CD を利用し Dockerfile から Docker イメージをビルドすることで, イメージの作成を学ぶこともできる。\par
|
|
|
507 %今後, テスト環境にデプロイを行い, ユーザやシステム管理チームからのフィードバックをもらい, 改善や実証実験を目指す。
|
|
1
|
508
|
|
|
509 \begin{thebibliography}{99}
|
|
|
510
|
|
|
511 \bibitem{singu} Singularity, https://sylabs.io/singularity/, 2020/9/11.
|
|
|
512 \bibitem{docker} Docker, https://www.docker.com/, 2020/9/11.
|
|
|
513 \bibitem{dockerhub} Docker Hub, https://hub.docker.com/, 2020/9/11.
|
|
|
514 \bibitem{k8s} Kubernetes, https://kubernetes.io/, 2020/9/11.
|
|
|
515 \bibitem{sdk} Docker Engine API, https://docs.docker.com/engine/api/, 2020/9/11.
|
|
|
516 \bibitem{kubecli} Go clients for talking to a kubernetes cluster, https://github.com/kubernetes/client-go, 2020/9/11.
|
|
|
517 \bibitem{gitlab} GitLab, https://about.gitlab.com/, 2020/9/11.
|
|
|
518 \bibitem{gitlabrunner} GitLab Runner Docs, https://docs.gitlab.com/runner/, 2020/9/11.
|
|
|
519 \bibitem{kvm} KVM, https://www.linux-kvm.org/, 2020/9/11.
|
|
|
520 \bibitem{gitlabcicd} GitLab CI/CD, https://docs.gitlab.com/ce/ci/, 2020/9/11.
|
|
|
521 \bibitem{nvidia-docker} NVIDIA Container Toolkit, https://github.com/NVIDIA/nvidia-docker, 2020/9/11.
|
|
|
522 \bibitem{digdog} 秋田 海人 and 高瀬 大空 and 上地 悠斗 and 長田 智和 and 谷口 祐治, 情報系学科における教育研究情報システムの運用管理並びに新規システムの構築に関する取り組み, インターネットと運用技術シンポジウム(2019).
|
|
2
|
523 %\bibitem{ie-virsh} 平良 太貴 and 河野 真治, OS 授業向けマルチユーザ VM 環境の構築, 研究報告システムソフトウェアとオペレーティング・システム(OS)(2014).
|
|
0
|
524
|
|
|
525 \end{thebibliography}
|
|
1
|
526 \end{multicols*}
|
|
|
527
|
|
0
|
528 \end{document}
|
