自分だけのDify-Sandboxを構築する:Dockerfile完全解説

セキュリティ

近年のソフトウェア開発において、セキュリティは最重要課題の一つです。特に、外部からのコード実行が必要となるオンラインジャッジシステムやコード実行環境では、悪意のあるコードからシステムを守るための対策が必須となります。

そんな課題を解決するのがDify-Sandboxです。Dify-Sandboxは、信頼できないコードを安全な分離環境で実行するためのオープンソースライブラリであり、システムコールの制限やリソース制限など、強固なセキュリティ機能を提供します。

本記事では、Dify-Sandboxをより深く理解し、自分の環境に合わせてカスタマイズできるように、Dockerfileを用いたDify-Sandboxの構築方法をステップバイステップで解説します。


こちらの記事もおすすめ

Dify-Sandbox: 安全な分離環境でコードを実行する
はじめにDify-Sandboxは、信頼できないコードを安全な環境で実行するためのシンプルなソリューションを提供します。複数のユーザーが実行するコードをサブミットできる、マルチテナント環境での使用を想定して設計されています。コードはサンドボ...
Difyのdocker-composeのアップグレード手順
Difyは、AIアプリケーションを簡単に構築・デプロイできるオープンソースのプラットフォームです。本記事では、Difyを最新バージョンにアップグレードする手順を初心者向けに解説します。デモ動画Difyのdocker-composeのアップグ...

なぜDify-Sandboxを自分でビルドするのか?

公式イメージを利用する手軽さの一方で、独自のニーズに合わせたカスタマイズが必要となるケースも少なくありません。例えば、

  • 特定のバージョンのGo言語やPython環境を使用したい
  • 特定のライブラリを追加したい
  • セキュリティ設定をより厳密にカスタマイズしたい

このような場合、Dockerfileを用いたDify-Sandboxのセルフビルドが有効です。

DockerfileによるDify-Sandbox構築

それでは、実際にDockerfileを作成し、Dify-Sandboxをビルドしてみましょう。

Dockerfileの作成

まず、以下の内容を記述した Dockerfile を作成します。

# ビルドステージ
FROM python:3.10-slim AS builder

# 必要な依存関係をインストール(sudoを含む)
RUN apt-get update && apt-get install -y \
    sudo \
    pkg-config \
    libseccomp-dev \
    wget \
    xz-utils \
    gcc \
    g++ \
    git \
    make \
    cmake \
    curl

# Go言語のインストール
RUN wget https://go.dev/dl/go1.21.6.linux-amd64.tar.gz && \
    tar -C /usr/local -xzf go1.21.6.linux-amd64.tar.gz && \
    rm go1.21.6.linux-amd64.tar.gz

# 環境変数の設定
ENV PATH="/usr/local/go/bin:${PATH}"

# Dify-Sandboxのソースコードを取得
WORKDIR /tmp
RUN git clone https://github.com/langgenius/dify-sandbox.git

# Dify-Sandboxのビルド
WORKDIR /tmp/dify-sandbox
# install.shとbuild_amd64.shを実行
RUN ./install.sh && ./build/build_amd64.sh # amd64の場合
# ARM64の場合は以下を使用
# RUN ./install.sh && ./build/build_arm64.sh

# 実行ステージ
FROM python:3.10-slim

# ビルドしたDify-Sandboxバイナリをビルドステージからコピー
COPY --from=builder /tmp/dify-sandbox/main /main

# 設定ファイルと依存関係をコピー
COPY conf/config.yaml /conf/config.yaml
COPY dependencies/python-requirements.txt /dependencies/python-requirements.txt

# Pythonの依存関係をインストール
RUN pip3 install -r /dependencies/python-requirements.txt

# Node.jsとcurlをインストール
RUN apt-get update && apt-get install -y wget xz-utils curl && \
    wget -O /opt/node-v20.11.1-linux-x64.tar.xz https://npmmirror.com/mirrors/node/v20.11.1/node-v20.11.1-linux-x64.tar.xz && \
    tar -xvf /opt/node-v20.11.1-linux-x64.tar.xz -C /opt && \
    ln -s /opt/node-v20.11.1-linux-x64/bin/node /usr/local/bin/node && \
    rm -f /opt/node-v20.11.1-linux-x64.tar.xz && \
    apt-get clean && rm -rf /var/lib/apt/lists/*

# 実行権限を付与
RUN chmod +x /main

# コンテナ起動コマンド
ENTRYPOINT ["/main"]

Docker イメージのビルド

Dockerfile を作成したら、以下のコマンドを実行してDockerイメージをビルドします。

docker build -t my-dify-sandbox .

Docker コンテナの実行

ビルドが完了したら、以下のコマンドでコンテナを実行します。

docker run -p 8194:8194 my-dify-sandbox

これで、Dify-Sandboxが起動し、ポート8194でアクセスできるようになります。

Dockerfileの詳細解説

ビルドステージ

# ビルドステージ
FROM python:3.10-slim AS builder
  • FROM python:3.10-slim AS builder: ベースイメージとして python:3.10-slim を使用し、ステージ名を builder としています。
  • ビルドステージでは、Dify-Sandboxのビルドに必要な環境を構築します。

依存関係のインストール

# 必要な依存関係をインストール(sudoを含む)
RUN apt-get update && apt-get install -y \
    sudo \
    pkg-config \
    libseccomp-dev \
    wget \
    xz-utils \
    gcc \
    g++ \
    git \
    make \
    cmake \
    curl
  • RUN apt-get update && apt-get install -y ...: Dify-Sandboxのビルドに必要な依存関係をインストールします。
  • sudo, pkg-config, libseccomp-dev など、ビルドに必要なツールやライブラリをインストールしています。

Go言語のインストール

# Go言語のインストール
RUN wget https://go.dev/dl/go1.21.6.linux-amd64.tar.gz && \
    tar -C /usr/local -xzf go1.21.6.linux-amd64.tar.gz && \
    rm go1.21.6.linux-amd64.tar.gz

# 環境変数の設定
ENV PATH="/usr/local/go/bin:${PATH}"
  • RUN wget ...: 指定したURLからGo言語のアーカイブをダウンロードします。
  • tar -C /usr/local -xzf ...: ダウンロードしたアーカイブを /usr/local に展開します。
  • rm ...: アーカイブファイルを削除します。
  • ENV PATH="/usr/local/go/bin:${PATH}": Go言語へのパスを通すために環境変数 PATH を設定します。

Dify-Sandboxのソースコード取得とビルド

# Dify-Sandboxのソースコードを取得
WORKDIR /tmp
RUN git clone https://github.com/langgenius/dify-sandbox.git

# Dify-Sandboxのビルド
WORKDIR /tmp/dify-sandbox
# install.shとbuild_amd64.shを実行
RUN ./install.sh && ./build/build_amd64.sh # amd64の場合
# ARM64の場合は以下を使用
# RUN ./install.sh && ./build/build_arm64.sh
  • WORKDIR /tmp: 作業ディレクトリを /tmp に変更します。
  • RUN git clone ...: Dify-SandboxのソースコードをGitHubリポジトリからクローンします。
  • WORKDIR /tmp/dify-sandbox: 作業ディレクトリをクローンしたDify-Sandboxのディレクトリに変更します。
  • RUN ./install.sh && ./build/build_amd64.sh: Dify-Sandboxのインストールスクリプトとビルドスクリプトを実行します。 build_amd64.sh はamd64アーキテクチャ用のビルドスクリプトです。ARM64アーキテクチャの場合は build_arm64.sh を使用します。

実行ステージ

# 実行ステージ
FROM python:3.10-slim
  • FROM python:3.10-slim: 実行環境のベースイメージとして python:3.10-slim を使用します。

ビルド済みバイナリと設定ファイルのコピー

# ビルドしたDify-Sandboxバイナリをビルドステージからコピー
COPY --from=builder /tmp/dify-sandbox/main /main

# 設定ファイルと依存関係をコピー
COPY conf/config.yaml /conf/config.yaml
COPY dependencies/python-requirements.txt /dependencies/python-requirements.txt
  • COPY --from=builder /tmp/dify-sandbox/main /main: ビルドステージでビルドした main バイナリを実行ステージの /main にコピーします。
  • COPY conf/config.yaml /conf/config.yaml: Dify-Sandboxの設定ファイルをコピーします。
  • COPY dependencies/python-requirements.txt /dependencies/python-requirements.txt: Pythonの依存関係が記述されたファイルをコピーします。

Python、Node.js、curl のインストール

# Pythonの依存関係をインストール
RUN pip3 install -r /dependencies/python-requirements.txt

# Node.jsとcurlをインストール
RUN apt-get update && apt-get install -y wget xz-utils curl && \
    wget -O /opt/node-v20.11.1-linux-x64.tar.xz https://npmmirror.com/mirrors/node/v20.11.1/node-v20.11.1-linux-x64.tar.xz && \
    tar -xvf /opt/node-v20.11.1-linux-x64.tar.xz -C /opt && \
    ln -s /opt/node-v20.11.1-linux-x64/bin/node /usr/local/bin/node && \
    rm -f /opt/node-v20.11.1-linux-x64.tar.xz && \
    apt-get clean && rm -rf /var/lib/apt/lists/*
  • RUN pip3 install -r ...: Pythonの依存関係をインストールします。
  • RUN apt-get update && apt-get install -y ...: Node.jsとcurlをインストールします。

実行権限の付与と起動コマンド

# 実行権限を付与
RUN chmod +x /main

# コンテナ起動コマンド
ENTRYPOINT ["/main"]
  • RUN chmod +x /main: main バイナリに実行権限を付与します。
  • ENTRYPOINT ["/main"]: コンテナ起動時に /main バイナリを実行するよう設定します。

まとめ

本記事では、Dockerfileを用いてDify-Sandboxをビルドする方法を解説しました。

Dockerfileを用いることで、Dify-Sandboxを自身の環境に合わせてカスタマイズし、よりセキュアなコード実行環境を構築することが可能になります。

コメント

タイトルとURLをコピーしました