## 背景 NemoClaw + LiteLLM 統合 (#1) により、個人ごとにEC2を立てるアーキテクチャが確立した。5人規模で運用する際、セキュリティ設定を統一管理し、**再デプロイなしで**全環境に反映する仕組みが必要。 ## アーキテクチャ ``` 管理者 → S3 bucket (policy, SOUL.md, LiteLLM config) ↓ 定期pull or SSM一括配信 EC2-A (user-a) → NemoClaw sandbox → LiteLLM → Bedrock EC2-B (user-b) → NemoClaw sandbox → LiteLLM → Bedrock EC2-C (user-c) → NemoClaw sandbox → LiteLLM → Bedrock ``` ## 再デプロイ不要で更新可能にする項目 | 変更内容 | 配信方法 | 反映方法 | |---------|---------|---------| | 許可モデルの追加/削除 | S3 → LiteLLM config | `systemctl restart litellm` | | sandbox network policy | S3 → policy.yaml | `openshell policy set` (hot reload) | | SOUL.md(行動規範) | S3 → sandbox内 | SSH配信 | | LiteLLMの認証設定 | S3 → /etc/litellm/ | `systemctl restart litellm` | ## 実装タスク - [ ] S3バケット作成(CloudFormationに追加) - [ ] 各EC2が起動時にS3からポリシーを取得する仕組み - [ ] 定期的なS3ポーリング(cron or systemd timer)で変更を自動反映 - [ ] SSM RunCommand による一括即時適用スクリプト - [ ] コスト管理: LiteLLMのユーザー別APIキー or AWS Cost Allocation Tags - [ ] CloudWatch Logs連携(LiteLLMログの一元監視) ## 設計方針 - CloudFormationテンプレート = セキュリティのベースライン(IAM, VPC, SG) - S3 = 動的に変わるポリシー配信元 - SSM = 緊急時の一括操作手段 - upstreamのAdmin Console/AgentCoreは使わない(個人EC2 × NemoClaw sandboxの方向) ## 関連 - #1 NemoClaw + LiteLLM 統合 - #2 NemoClaw + LiteLLM PR
背景
NemoClaw + LiteLLM 統合 (#1) により、個人ごとにEC2を立てるアーキテクチャが確立した。5人規模で運用する際、セキュリティ設定を統一管理し、再デプロイなしで全環境に反映する仕組みが必要。
アーキテクチャ
再デプロイ不要で更新可能にする項目
systemctl restart litellmopenshell policy set(hot reload)systemctl restart litellm実装タスク
設計方針
関連