Mercurial > hg > Papers > 2020 > mk-sigiot
changeset 5:ef6f19e8ec75
update tex
author | Ken Miyahira <e175733@ie.u-ryukyu.ac.jp> |
---|---|
date | Mon, 03 Aug 2020 14:39:40 +0900 |
parents | 9e3a62483bda |
children | db794a6414e4 |
files | mm/mk-sigiot.mm paper/mk-wm-back.tex paper/mk-wm.bib paper/mk-wm.pdf paper/mk-wm.tex |
diffstat | 5 files changed, 338 insertions(+), 63 deletions(-) [+] |
line wrap: on
line diff
--- a/mm/mk-sigiot.mm Sat Aug 01 15:05:36 2020 +0900 +++ b/mm/mk-sigiot.mm Mon Aug 03 14:39:40 2020 +0900 @@ -21,14 +21,12 @@ </node> <node CREATED="1596174825349" ID="ID_1616291773" MODIFIED="1596259924680" POSITION="left" TEXT="本コースの類似サービス"> <node CREATED="1596174575089" ID="ID_1318336909" MODIFIED="1596174578028" TEXT="digdog"> -<node CREATED="1596188700316" ID="ID_1147937792" MODIFIED="1596256725938" TEXT="IOTポスターセッション"/> <node CREATED="1596256536666" ID="ID_926203283" MODIFIED="1596256547752" TEXT="Kubernetes を利用したコンテナ貸出"/> <node CREATED="1596256584730" ID="ID_1250728976" MODIFIED="1596256600020" TEXT="Kubernetes API で Mac からコンテナを操作できる"/> <node CREATED="1596256678852" ID="ID_882622399" MODIFIED="1596256686457" TEXT="Namespace でユーザごとの管理"/> <node CREATED="1596257527914" ID="ID_1682150336" MODIFIED="1596257544163" TEXT="学生が Docker イメージを作成できる"/> </node> <node CREATED="1596174571004" ID="ID_111799885" MODIFIED="1596174574376" TEXT="ie-docker"> -<node CREATED="1596174579274" ID="ID_598354706" MODIFIED="1596188717677" TEXT="修論"/> <node CREATED="1596256556725" ID="ID_1907337932" MODIFIED="1596256570978" TEXT="Docker をラップ"/> <node CREATED="1596174915351" ID="ID_1493050779" MODIFIED="1596174934851" TEXT="UID 及び GID でユーザごとの管理"/> <node CREATED="1596256519708" ID="ID_1807874948" MODIFIED="1596256525379" TEXT="attach でコンテナ内に入れる"/> @@ -53,7 +51,7 @@ </node> </node> <node CREATED="1596187586148" ID="ID_1687912139" MODIFIED="1596187595572" POSITION="left" TEXT="サービスの実装"> -<node CREATED="1596257840454" ID="ID_277503245" MODIFIED="1596257858929" TEXT="RestAPI 化"> +<node CREATED="1596257840454" ID="ID_277503245" MODIFIED="1596342012162" TEXT="API化"> <node CREATED="1596257859597" ID="ID_1010169368" MODIFIED="1596257862660" TEXT="NagiDocker"> <node CREATED="1596257964594" ID="ID_1716638261" MODIFIED="1596257968484" TEXT="コンテナ関連"> <node CREATED="1596257934462" ID="ID_42968183" MODIFIED="1596257939376" TEXT="コンテナの作成"/> @@ -120,8 +118,8 @@ </node> </node> <node CREATED="1596257712975" ID="ID_854065637" MODIFIED="1596257752462" TEXT="API 化"> -<node CREATED="1596257753353" ID="ID_388815534" MODIFIED="1596257774849" TEXT="Docker の操作は RestAPI で行う"/> -<node CREATED="1596257775497" ID="ID_101759032" MODIFIED="1596257784850" TEXT="Kubernetes の操作も RestAPI で行う"/> +<node CREATED="1596257753353" ID="ID_388815534" MODIFIED="1596342034453" TEXT="Docker 操作は API で行う"/> +<node CREATED="1596257775497" ID="ID_101759032" MODIFIED="1596342044430" TEXT="Kubernetes 操作も API で行う"/> </node> </node> </node> @@ -169,7 +167,7 @@ <node CREATED="1596259199235" ID="ID_686699266" MODIFIED="1596259205971" TEXT="リソース占有の対策"> <node CREATED="1596259206391" ID="ID_1351415873" MODIFIED="1596259225364" TEXT="ユーザごとにリソースの制限をかけるか"/> <node CREATED="1596259258666" ID="ID_1625514001" MODIFIED="1596259266710" TEXT="制限しすぎるのはよくない気がする"> -<node CREATED="1596259270406" ID="ID_1085989212" MODIFIED="1596259283518" TEXT="貸出 VM でさえあまり利用されていない気がするから"/> +<node CREATED="1596259270406" ID="ID_1085989212" MODIFIED="1596342750009" TEXT="貸出 VM でさえあまり利用されていないから"/> </node> </node> </node>
--- /dev/null Thu Jan 01 00:00:00 1970 +0000 +++ b/paper/mk-wm-back.tex Mon Aug 03 14:39:40 2020 +0900 @@ -0,0 +1,207 @@ +%% +%% 研究報告用スイッチ +%% [techrep] +%% +%% 欧文表記無しのスイッチ(etitle,eabstractは任意) +%% [noauthor] +%% + +%\documentclass[submit,techrep]{ipsj} +\documentclass[submit,techrep,noauthor]{ipsj} + + + +\usepackage[dvips,dvipdfmx]{graphicx} +\usepackage{latexsym} +\usepackage{listings} +\lstset{ + language=C, + tabsize=2, + frame=single, + basicstyle={\tt\footnotesize}, % + identifierstyle={\footnotesize}, % + commentstyle={\footnotesize\itshape}, % + keywordstyle={\footnotesize\ttfamily}, % + ndkeywordstyle={\footnotesize\ttfamily}, % + stringstyle={\footnotesize\ttfamily}, + breaklines=true, + captionpos=b, + columns=[l]{fullflexible}, % + xrightmargin=0zw, % + xleftmargin=1zw, % + aboveskip=1zw, + numberstyle={\scriptsize}, % + stepnumber=1, + numbersep=0.5zw, % + lineskip=-0.5ex, +} +\usepackage{caption} + + +\def\Underline{\setbox0\hbox\bgroup\let\\\endUnderline} +\def\endUnderline{\vphantom{y}\egroup\smash{\underline{\box0}}\\} +\def\|{\verb|} +% + +%\setcounter{巻数}{59}%vol59=2018 +%\setcounter{号数}{10} +%\setcounter{page}{1} +\renewcommand{\lstlistingname}{Code} + +\begin{document} + + +\title{情報工学科演習用のコンテナ技術を用いた新規サービスの設計・実装} + +%\etitle{How to Prepare Your Paper for IPSJ SIG Technical Report \\ (version 2018/10/29)} + +\affiliate{KIE}{琉球大学大学院理工学研究科情報工学専攻} +\affiliate{IE}{琉球大学工学部工学科知能情報コース} + + +\author{宮平 賢}{Miyahira Ken}{IE}[mk@cr.ie.u-ryukyu.ac.jp] +\author{河野 真治}{Shinji Kono}{IE}[kono@ie.u-ryukyu.ac.jp] + +\begin{abstract} +IT技術を学ぶ時の学習環境の 1つとして, OS 上の隔離された環境を構築する技術であるコンテナがある. これらはローカルに設置された計算機, あるいはクラウド上に作られる. +作成されるコンテナは学生, あるいは教員側から適切に管理するシステムが必要となる. +管理システムはマルチユーザで動作するのは当然として, 利用者や管理者に適したUI, sudo権限で動作するコンテナへの対処などが含まれる. +学生の演習には, Webサービスの実装や人工知能の学習などがある. そのため, 気軽に開発環境やテスト環境などを用意できる利用のしやすさが重要である. +本稿ではコンテナ管理ソフトウェアである Docker, Singularity を用いた新規 Web サービスの設計・実装を行う. +\end{abstract} + + +\maketitle + +\section{はじめに} +情報通信技術の普及に伴い学生が学ぶ学習環境が必要となる。その学習環境として VM や コンテナにより, 手軽に開発し試せる技術が普及している。 +だが, 手元の PC 上で VM や コンテナを立ち上げ, 開発を行うことはできるが, VM や コンテナの使用には高性能 PC や 有料のクラウドサービスが必要になる場合がある。 +この大きな負担を学生に負わせない仕組みが必要である。\par +琉球大学工学部工学科知能情報コースでは, 希望の学生に学科のブレードサーバから仮想環境を貸出すサービスを行なっている。貸出をする VM のデフォルトのスペックでは +不足場合要望に応じてスペックの変更を行なっている。だが, 貸出サービスでは GPU を利用した処理環境を提供することができない。 +%だが, 貸出サービスでは近年盛んに行われている人工知能の研究に必要な環境を提供することができない。 +GPU が搭載されている PC は研究室によっては用意されているが, 研究室に所属していない学生は利用することができない。そのため, 新たな仕組みが必要である。\par +学科のブレードサーバに搭載される GPU は VM の貸出サービスでは利用することができないため, コンテナ技術を利用する。 +コンテナ管理ソフトウェアである Docker では NVIDIA Container Toolkit である nvidia-docker を利用することで, 複数のコンテナで GPU を使用することができる。 +Docker では基本的に root 権限で動作する。また一般ユーザが docker コマンドを使用するには docker グループに追加する必要がある。 +そのため Docker をマルチユーザで使用すると, 他ユーザのコンテナへアクセスできるなどセキュリティの問題がある。\par +そこで, 本論文では, Docker と マルチユーザ環境で利用しやすい Linux コンテナである Singularity を利用したコンテナ貸出サービスを提案する。 +このコンテナ貸出サービスでは, Web コンソールからコンテナの操作を行うことで他ユーザのコンテナへの操作をさせない。また, 先行研究の課題でもあったデータの永続化を +Singularity で, 外部リポジトリの利用を Docker の操作を API で提供することで利用によるで解消する。 + + +\section{Docker} +Docker とは Docker, Inc. が開発した Linux コンテナ管理ソフトウェアであり, 2013年にオープンソースのプロジェクトとして公開された。 +Docker ではコンテナを実行するだけでなく, コンテナイメージの作成 + +\section{Singularity} +Singularity とは, Berkeley Lab が開発した Linux コンテナであり, オープンソースソフトウェアで提供されている。 +Singularity には他のコンテナランタイムとは異なるセキュリティ機能がある。Singularity はコンテナを作成時にコンテナ内にUID及びGID情報を動的に書き込み, ユーザの権限を引き継ぐ。 +そのため, ユーザが非特権ユーザの場合コンテナ内でも非特権ユーザとして動作する。また, Singularity は他のユーザのコンテナを操作することができないためマルチユーザ環境で安全に使用できる。 +Singularity のコンテナではデフォルトで \$HOME, /tmp, /proc, /sys, /dev がマウントされる。そのため, ユーザがコンテナ内にファイルをコピーする手間を省くことができる。 + +\section{GitLab} +GitLab とは, GitLab.Inc. が開発した Gitリポジトリマネージャーであり, オープンソースソフトウェアで提供されている。 +GitLab には無償版の GitLab Community Edition (以下GitLab CE) と 有償版の GitLab Enterprise Edition (以下GitLab EE) がある。 +本コースでは GitLab CE を運用している。本研究では GitLab CE に統合されいている CI/CD 機能を利用する。 + +\section{関連研究} +本サービスに関連した研究として, Docker をラップし複数のユーザで利用することを目的とした ie-docker, Kubernetes を利用した教育用コンテナ貸出を目的とした, digdog がある。 +この 2 つの研究について軽く概要を説明する。 +\subsection{ie-docker} +ie-docker とは Docker をラップし複数のユーザで利用することのできるコンテナ管理ツールである。 +利用する学生は ssh でブレードサーバへ接続し, ie-docker を使用してコンテナを操作することができる。 +ie-docker は UID 及び GID 情報を取得し他のユーザのコンテナを操作させない。 +またユーザが使える docker の機能を制限する。表\ref{tb:ie-docker}が ie-docker の機能である。 + +\begin{table}[htb] + \begin{center} + \caption{ie-docker のコマンド} + \begin{tabular}{c|l} \hline + ps & 起動中のコンテナの一覧を表示する \\ \hline + run & コンテナを作成する \\ \hline + start & コンテナを起動する \\ \hline + stop & コンテナを停止する \\ \hline + attach & 起動しているコンテナに attach する \\ \hline + cp & コンテナにファイルを送信する \\ \hline + rm & コンテナを削除する \\ \hline + \end{tabular} + \label{tb:ie-docker} + \end{center} +\end{table} + +\subsection{digdog} +digdog とは Kubernetes を利用したコンテナ貸出サービスである。 +学生は Dockerfile を GitLab CI/CD を利用して GitLab Registry に Docker イメージを登録する。 +コンテナを利用するには学科アカウントを使用して Web サービスへログインし, 登録したイメージでコンテナを作成することができる。 +また学生の Namespace が作成される。RBAC を用いたリソース操作のアクセス制御を行なっており, 学生は Kubernetes コマンドである kubectl コマンドで Pod の操作を行うことができる。 +RBAC で許可されているリソース操作は表\ref{tb:digdog}である。 + +\begin{table}[htb] + \begin{center} + \caption{kubectl のコマンド} + \begin{tabular}{c|l} \hline + get & Pod の一覧を表示する \\ \hline + log & Pod の Log を表示する \\ \hline + exec & Pod にアクセスする \\ \hline + \end{tabular} + \label{tb:digdog} + \end{center} +\end{table} + +\section{WhaleMountain} +本サービスの構成を図\ref{fig:wm}に示す。本サービスは digdog を参考にして作られた コンテナ貸出を行う Web サービスである。 +学生は学科アカウントを使用して Web サービスへログインし, コンテナの作成や操作を行うことができる。 +また, GitLab CI/CD を使用し学生が作成した Dockerfile を GitLab へ Push することで, 学生が自由に Docker イメージを作成することもできる。 +作成した Docker イメージは他の学生に共有できる。また学生は他の学生が作成したコンテナやイメージを操作することはできない。 +WhaleMountain が提供するサービスは以下である。 +\begin{itemize} + \item GitLab CI/CD Token の更新 + \item Docker Image の削除 + \item Singularity Image のダウンロード + \item Docker コンテナの作成, 操作 + \item Kubernetes Pods の作成 +\end{itemize} + +\begin{figure}[tb] + \begin{center} + \includegraphics[width=80mm]{Images/whalemountain.pdf} + \end{center} + \caption{システム構成} + \label{fig:wm} +\end{figure} + +\section{WhaleMountain と他ツールとの比較} +関連研究である ie-docker と digdog との比較を行う。 + +\subsection{ie-docker と比較} +ie-docker では学生が自由に Docker イメージを作成することができない。またコンテナで使用できる Docker イメージも制限される。 +WhaleMountain の Docker コンテナでは学生がコンテナの log の確認することができない。また ie-docker の attach と比べ WhaleMountain では, +コンテナに接続するのではなく, コンテナでコマンドを実行し出力を表示するため, ファイルの編集などを行うことができない。そのため, WhaleMountain では, +Docker コンテナだけでなく Kubernetes の Pods を作成することができる。 Kubernetes で作成した Pods に対して 学生は kubectl コマンドで操作ができる。 + +\subsection{digdog と比較} +WhaleMountain は digdog を参考にして作られたため, 基本構成は似ている。だが, digdog はコンテナ作成に学生が作成した Docker イメージのみに制限されている。 +また, GitLab CI/CD の CI で Dockerfile を build する際に利用する GitLab Runner が共有される。そのため複数の学生が同時に Dockerfile を build することができない。 +WhaleMountain では コンテナ作成で Docker イメージに制限をかけないため Docker Hub に登録されている Docker イメージも利用できる。 +また, 学生用のGitLab Runner を Token の設定時に用意するため, 複数の学生が同時に Dockerfile を build することができる。 + +%\begin{lstlisting}[frame=lrbt,label=src:example,caption={コード書き方例}] +%package main +%import "fmt" + +%func main() { +% fmt.Println("Hello, World!!") +%} +%\end{lstlisting} + +\section{今後の課題} + +\section{まとめ} + +\nocite{*} +\bibliographystyle{ipsjunsrt} +\bibliography{mk-wm} + + +\end{document}
--- a/paper/mk-wm.bib Sat Aug 01 15:05:36 2020 +0900 +++ b/paper/mk-wm.bib Mon Aug 03 14:39:40 2020 +0900 @@ -0,0 +1,29 @@ +@manual{singu, +author = "{Singularity}", +title ="{https://sylabs.io/singularity/}", +} + +@manual{dockercli, +author = "{Docker Engine API}", +title ="{https://docs.docker.com/engine/api/}", +} + +@manual{kubecli, +author = "{Go clients for talking to a kubernetes cluster}", +title ="{https://github.com/kubernetes/client-go}", +} + +@article{ie-docker, + author = "平良 太貴", + title = "IT 技術学習のための教育用計算機システムの研究", + year = "2015", + institution = "琉球大学大学院理工学研究科情報工学専攻", +} + +@article{digdog, + author = "秋田 海人 and 高瀬 大空 and 上地 悠斗 and 長田 智和 and 谷口 祐治", + title = "情報系学科における教育研究情報システムの運用管理並びに新規システムの構築に関する取り組み", + year = "2019", + institution = "琉球大学大学院理工学研究科情報工学専攻, 琉球大学工学部情報工学科, 琉球大学工学部工学科知能情報コース, 琉球大学工学部情報工学科, 琉球大学工学部情報工学科", + journal = "インターネットと運用技術シンポジウム", +} \ No newline at end of file
--- a/paper/mk-wm.tex Sat Aug 01 15:05:36 2020 +0900 +++ b/paper/mk-wm.tex Mon Aug 03 14:39:40 2020 +0900 @@ -77,42 +77,26 @@ 情報通信技術の普及に伴い学生が学ぶ学習環境が必要となる。その学習環境として VM や コンテナにより, 手軽に開発し試せる技術が普及している。 だが, 手元の PC 上で VM や コンテナを立ち上げ, 開発を行うことはできるが, VM や コンテナの使用には高性能 PC や 有料のクラウドサービスが必要になる場合がある。 この大きな負担を学生に負わせない仕組みが必要である。\par -琉球大学工学部工学科知能情報コースでは, 希望の学生に学科のブレードサーバから仮想環境を貸出すサービスを行なっている。貸出をする VM のデフォルトのスペックでは -不足場合要望に応じてスペックの変更を行なっている。だが, 貸出サービスでは GPU を利用した処理環境を提供することができない。 +琉球大学工学部工学科知能情報コースでは希望の学生に学科のブレードサーバから仮想環境を貸出すサービスを行なっている。貸出をする VM のデフォルトのスペックでは +不足の場合, 要望に応じてスペックの変更を行なっている。だが, 貸出サービスでは GPU を利用した処理環境を提供することができない。 %だが, 貸出サービスでは近年盛んに行われている人工知能の研究に必要な環境を提供することができない。 -GPU が搭載されている PC は研究室によっては用意されているが, 研究室に所属していない学生は利用することができない。そのため, 新たな仕組みが必要である。\par -学科のブレードサーバに搭載される GPU は VM の貸出サービスでは利用することができないため, コンテナ技術を利用する。 -コンテナ管理ソフトウェアである Docker では NVIDIA Container Toolkit である nvidia-docker を利用することで, 複数のコンテナで GPU を使用することができる。 -Docker では基本的に root 権限で動作する。また一般ユーザが docker コマンドを使用するには docker グループに追加する必要がある。 -そのため Docker をマルチユーザで使用すると, 他ユーザのコンテナへアクセスできるなどセキュリティの問題がある。\par +GPU が搭載されている PC は研究室によっては用意されているが, 研究室に所属していない学生は利用することができない。そのため, 新たな仕組みが必要である。\par +学科のブレードサーバに搭載される GPU は VM の貸出サービスでは利用することができない。そこでコンテナ技術を利用する。 +コンテナ管理ソフトウェアである Docker では NVIDIA Container Toolkit である nvidia-docker を利用することで, 複数のコンテナで GPU を共有することができる。 +Docker は基本的に root 権限で動作する。また一般ユーザが docker コマンドを使用するには docker グループに追加する必要がある。 +そのため Docker をマルチユーザ環境で使用すると, 他ユーザのコンテナへアクセスができるなどセキュリティの問題がある。\par そこで, 本論文では, Docker と マルチユーザ環境で利用しやすい Linux コンテナである Singularity を利用したコンテナ貸出サービスを提案する。 -このコンテナ貸出サービスでは, Web コンソールからコンテナの操作を行うことで他ユーザのコンテナへの操作をさせない。また, 先行研究の課題でもあったデータの永続化を -Singularity で, 外部リポジトリの利用を Docker の操作を API で提供することで利用によるで解消する。 +このコンテナ貸出サービスでは, Web コンソールからコンテナの操作を行うことで他ユーザのコンテナへの操作をさせない。また, 本コースの類似サービスの課題でもあったデータの永続化を +Singularity で, 外部リポジトリの利用を Docker の操作を HTTP API で提供することで解消する。 -\section{Docker} -Docker とは Docker, Inc. が開発した Linux コンテナ管理ソフトウェアであり, 2013年にオープンソースのプロジェクトとして公開された。 -Docker ではコンテナを実行するだけでなく, コンテナイメージの作成 - -\section{Singularity} -Singularity とは, Berkeley Lab が開発した Linux コンテナであり, オープンソースソフトウェアで提供されている。 -Singularity には他のコンテナランタイムとは異なるセキュリティ機能がある。Singularity はコンテナを作成時にコンテナ内にUID及びGID情報を動的に書き込み, ユーザの権限を引き継ぐ。 -そのため, ユーザが非特権ユーザの場合コンテナ内でも非特権ユーザとして動作する。また, Singularity は他のユーザのコンテナを操作することができないためマルチユーザ環境で安全に使用できる。 -Singularity のコンテナではデフォルトで \$HOME, /tmp, /proc, /sys, /dev がマウントされる。そのため, ユーザがコンテナ内にファイルをコピーする手間を省くことができる。 - -\section{GitLab} -GitLab とは, GitLab.Inc. が開発した Gitリポジトリマネージャーであり, オープンソースソフトウェアで提供されている。 -GitLab には無償版の GitLab Community Edition (以下GitLab CE) と 有償版の GitLab Enterprise Edition (以下GitLab EE) がある。 -本コースでは GitLab CE を運用している。本研究では GitLab CE に統合されいている CI/CD 機能を利用する。 - -\section{関連研究} -本サービスに関連した研究として, Docker をラップし複数のユーザで利用することを目的とした ie-docker, Kubernetes を利用した教育用コンテナ貸出を目的とした, digdog がある。 -この 2 つの研究について軽く概要を説明する。 +\section{本コースの類似サービス} +本サービスに類似したサービスとして, Docker をラップし複数のユーザで利用することを目的とした ie-docker \cite{ie-docker}, Kubernetes を利用した教育用コンテナ貸出を目的とした, digdog \cite{digdog} がある。 \subsection{ie-docker} ie-docker とは Docker をラップし複数のユーザで利用することのできるコンテナ管理ツールである。 利用する学生は ssh でブレードサーバへ接続し, ie-docker を使用してコンテナを操作することができる。 ie-docker は UID 及び GID 情報を取得し他のユーザのコンテナを操作させない。 -またユーザが使える docker の機能を制限する。表\ref{tb:ie-docker}が ie-docker の機能である。 +またユーザが使える docker の機能を制限する。表\ref{tb:ie-docker}が ie-docker で利用できる機能である。 \begin{table}[htb] \begin{center} @@ -133,8 +117,9 @@ \subsection{digdog} digdog とは Kubernetes を利用したコンテナ貸出サービスである。 学生は Dockerfile を GitLab CI/CD を利用して GitLab Registry に Docker イメージを登録する。 -コンテナを利用するには学科アカウントを使用して Web サービスへログインし, 登録したイメージでコンテナを作成することができる。 -また学生の Namespace が作成される。RBAC を用いたリソース操作のアクセス制御を行なっており, 学生は Kubernetes コマンドである kubectl コマンドで Pod の操作を行うことができる。 +学科アカウントを使用して Web サービスへログインし, 登録した Docker イメージでコンテナを作成することができる。 +コンテナ作成時は digdog が Kubernetes に Deployment を設定する。Deployment は学生のアカウント名で作成された Namespace に設定される。 +Namespace は RBAC を用いたリソース操作のアクセス制御が設定されている。そのため学生は Kubernetes コマンドである kubectl コマンドで 手元の PC から Pod の操作を行うことができる。 RBAC で許可されているリソース操作は表\ref{tb:digdog}である。 \begin{table}[htb] @@ -149,19 +134,50 @@ \end{center} \end{table} -\section{WhaleMountain} -本サービスの構成を図\ref{fig:wm}に示す。本サービスは digdog を参考にして作られた コンテナ貸出を行う Web サービスである。 -学生は学科アカウントを使用して Web サービスへログインし, コンテナの作成や操作を行うことができる。 -また, GitLab CI/CD を使用し学生が作成した Dockerfile を GitLab へ Push することで, 学生が自由に Docker イメージを作成することもできる。 -作成した Docker イメージは他の学生に共有できる。また学生は他の学生が作成したコンテナやイメージを操作することはできない。 -WhaleMountain が提供するサービスは以下である。 -\begin{itemize} - \item GitLab CI/CD Token の更新 - \item Docker Image の削除 - \item Singularity Image のダウンロード - \item Docker コンテナの作成, 操作 - \item Kubernetes Pods の作成 -\end{itemize} + +\section{サービスの設計} +学生が学習環境を利用する流れを図\ref{fig:wm} に示し, 概要を以下で説明する。 + +\subsection{利用技術} +サービスではコンテナ貸出を行う。 +そこで, コンテナ管理ソフトウェアである Docker, コンテナオーケストレーションソフトである Kubernetes, マルチユーザ環境に適した Linux コンテナである Singularity を利用する。\par +サービスは Docker や Kubernetes のみで提供することもできる。だが, コンテナ内のデータの永続化が問題となる。そのため Singularity を利用する。 +Singularity では デフォルトで \$HOME, /tmp, /proc, /sys, /dev がコンテナにマウントされる。そのため, コンテナのデータの永続化や大量のデータを扱う場合に適している。 + +\subsection{コンテナの作成} +学生は学科アカウントで Web コンソールへログインする。Web コンソールでは 学生のコンテナ一覧や Docker イメージ一覧を確認することができる。 +コンテナ作成を選択するとコンテナを作成するために必要な情報を入力する。入力する内容は表\ref{tb:wmcon} である。コンテナ名には学生のアカウント名が補完されるため, 他の学生と被ることはない。 +Docker イメージは Docker Hub に登録されているイメージや, 作成したイメージを入力することができる。環境変数とゲストポートはスペース区切りで複数入力することができる。 +ホストポートは, エフェメラルポート の範囲から設定される。学生は設定されたホストポートを使用してコンテナのサービスへアクセスする。 +また, 学生はコンテナに対して Web コンソールから, または手元の PC から操作することができる。 +必要なくなったコンテナは Web コンソールのコンテナ一覧から削除することができる。 + +\begin{table}[htb] + \begin{center} + \caption{コンテナ作成時の入力内容} + \begin{tabular}{c|l} \hline + ContainerName & コンテナ名 \\ \hline + Image & Docker イメージ \\ \hline + Environments & コンテナ作成時の環境変数 \\ \hline + GuestPort & コンテナが使用するポート番号 \\ \hline + \end{tabular} + \label{tb:wmcon} + \end{center} +\end{table} + +\subsection{イメージの作成} +Docker イメージの作成は学科で利用している GitLab の CI/CD 機能を使用する。 +学生は学科 GitLab から CI/CD トークンを取得し, Web コンソールで取得したトークンをセットする。この時 Docker 側に GitLab Runner の立ち上げを依頼する。 +トークンの設定後, Web コンソールから CI/CD 用の Yaml ファイルをダウンロードし Dockerfile と一緒に学科 GitLab のリポジトリに Push する。 +Docker イメージの Build が成功すると Web コンソールのイメージ一覧で確認ができる。作成した Docker イメージは編集からイメージの使い方を記述でき, 他の学生に共有するか設定を行える。 +必要なくなったイメージは Web コンソールのイメージ一覧から削除することができる。 + +\subsection{Singularity の利用} +Singularity は Docker イメージをSingularity 用に Build することで, Docker イメージを使用することができる。 +だが, イメージの Build には sudo 権限が必要となる。Docker イメージの Build を申請性にすると, 管理者の仕事が増え, 学生も利用しづらい。 +また, Singularity はユーザ権限で動作するため, 学生が ssh でブレードサーバへ接続し利用する方が適している。 +そこで, Web コンソールから Singularity 用のイメージをダウンロードできる仕様とする。\par +学生は利用したいイメージをダウンロードし, ブレードサーバへ送信して Singularity を使用することができる。 \begin{figure}[tb] \begin{center} @@ -171,20 +187,46 @@ \label{fig:wm} \end{figure} -\section{WhaleMountain と他ツールとの比較} -関連研究である ie-docker と digdog との比較を行う。 +\section{サービスの実装} +本コースでは ブレードサーバが 4 台導入され, 1 台に 1 つ GPU が搭載されている。コンテナ貸出サービスの機能を 1 つにまとめると Docker の操作が 1台のブレードサーバのみになる。 +そこで, 機能ごとに以下の 3 つにサービスに分ける。また, Docker や Kubernetes の操作を HTTP API で提供することで, リクエスト先の変更で複数のブレードサーバにコンテナを分散することができる。\par +実装にはDocker や Kubernetes の実装言語であり, 操作するためのライブラリが揃っている Go 言語を使用する。 +\begin{itemize} + \item Web コンソールの表示 + \item Docker の操作 + \item Kubernetes の操作 +\end{itemize} + +\subsection{Web コンソールの表示} +実装には Go 言語の Web フレームワークの 1 つである Gin を使用した。 -\subsection{ie-docker と比較} -ie-docker では学生が自由に Docker イメージを作成することができない。またコンテナで使用できる Docker イメージも制限される。 -WhaleMountain の Docker コンテナでは学生がコンテナの log の確認することができない。また ie-docker の attach と比べ WhaleMountain では, -コンテナに接続するのではなく, コンテナでコマンドを実行し出力を表示するため, ファイルの編集などを行うことができない。そのため, WhaleMountain では, -Docker コンテナだけでなく Kubernetes の Pods を作成することができる。 Kubernetes で作成した Pods に対して 学生は kubectl コマンドで操作ができる。 +\subsection{Docker の操作} +実装には Web コンソールと同じ Gin を使用し, Docker の操作を行うための SDK である Docker client \cite{dockercli} を使用する。 +Docker は sock に対して curl コマンドで操作できる HTTP API を提供している。sock だと複数のサーバに対応できないため, Go で HTTP API を実装する。\par +サービスを提供する上で Docker の必要となる操作は以下である。 +\begin{itemize} + \item コンテナの作成 + \item コンテナの削除 + \item コンテナでコマンド実行 + \item コンテナへファイル送信 + \item イメージの削除 + \item GitLab Runner の作成 +\end{itemize} -\subsection{digdog と比較} -WhaleMountain は digdog を参考にして作られたため, 基本構成は似ている。だが, digdog はコンテナ作成に学生が作成した Docker イメージのみに制限されている。 -また, GitLab CI/CD の CI で Dockerfile を build する際に利用する GitLab Runner が共有される。そのため複数の学生が同時に Dockerfile を build することができない。 -WhaleMountain では コンテナ作成で Docker イメージに制限をかけないため Docker Hub に登録されている Docker イメージも利用できる。 -また, 学生用のGitLab Runner を Token の設定時に用意するため, 複数の学生が同時に Dockerfile を build することができる。 +コンテナを作成するにあたって必要となるリクエスト情報は以下である。 +\begin{itemize} + \item コンテナ名 + \item コンテナ + \item イメージの削除 + \item GitLab Runner の作成 +\end{itemize} + +\subsection{Kubernetes の操作} +実装には Web コンソールと同じ Gin を使用し, Kubernetes の操作を行うためのライブラリである client-go \cite{kubecli} を使用する。 + +\section{サービスの評価} + +\section{類似サービスとの評価} %\begin{lstlisting}[frame=lrbt,label=src:example,caption={コード書き方例}] %package main @@ -203,5 +245,4 @@ \bibliographystyle{ipsjunsrt} \bibliography{mk-wm} - -\end{document} +\end{document} \ No newline at end of file