Sysbox 構成
CodeCanvas では、開発環境は Kubernetes pod コンテナー内で実行されるワーカーアプリケーションによって管理されます。このアプリケーションは Docker デーモンを使用して、ネストされたコンテナー内で開発環境を起動します。このモデルは Docker-in-Docker と呼ばれます。
Docker-in-Docker モデルでは、ワーカーアプリケーションにホストシステムに対する追加の権限(ホストのデバイスやファイルシステムへのアクセスなど)が必要です。これらの権限を付与するために、ホストはワーカーアプリケーションを --privileged モードで実行します。ワーカーアプリケーションはホストノードへのルートアクセス権を持つため、セキュリティリスクが生じる可能性があります。
リスクを回避するには、Sysbox コンテナーランタイム(英語)を使用できます。Sysbox は、コンテナーを VM のような環境で実行することでコンテナーの分離性を向上させ、--privileged モードの必要性を排除します。
インストール時に Sysbox を有効にするには
Kubernetes クラスターに Sysbox をインストールします。Sysbox のドキュメント(英語)に記載されているクラウドプロバイダーの指示に従ってください。
custom.values.yaml(Amazon EKS、Azure AKS、Google GKE) ファイルで Sysbox を有効にします。application: ... # other settings config: codecanvas: ... # other settings execution: k8s: worker: ... # other settings sysbox: enabled: true ... # other settings既存の CodeCanvas インストールで Sysbox を有効にする場合は、
helm upgradeを使用して変更を適用します。
関連ページ:
アーキテクチャー
CodeCanvas は、スケーラビリティと信頼性を重視し、Kubernetes クラスターへのデプロイ向けに設計されています。Amazon EKS、Azure AKS、Google GKE などの主要なクラウドプロバイダーへのインストールを想定しています。オンプレミスインフラストラクチャのサポートも予定されています。クラスター:典型的な CodeCanvas インストールは、CodeCanvas アプリケーションクラスターと任意の数の開発環境クラスターで構成されます。CodeCanvas ク...
Amazon EKS へのマルチクラスタインストール
このガイドでは、AWS EKS(Elastic Kubernetes Service)でホストされている Kubernetes クラスターに CodeCanvas アプリケーションをインストールする方法について説明します。データベースとオブジェクトストレージサービスは AWS、つまり RDS と S3 でホストされているものとします。マルチクラスタインストールは、CodeCanvas アプリケーションと開発環境インフラストラクチャが別々の Kubernetes クラスタにデプロイされることを意味...
オートスケーラーの設定
CodeCanvas は新しい開発環境ごとにワーカーまたは pod を作成します。開発環境クラスタにこれらの pods を起動するのに十分なリソースがあることが不可欠です。これは、固定ノードプールを使用するか、オートスケーラーを備えたノードプールを使用することで実現できます。オートスケーラーを使用するメリットは次のとおりです。自動スケーリング: オートスケーラーは、現在の負荷に基づいてノードを追加または削除できます。リソース効率: 負荷が低い場合、オートスケーラーは最小サイズにスケールダウンしてコ...