JA-066-docker-vps-ebpf-drift-guard

日本語

---

OpenClaw 活用事例レジストリ: [JA-066] Docker-VPS eBPFドリフト監視ガード

• Date: 2026-02-15
• Language: JA
• Category: Infrastructure / Docker-VPS
• Status: New

概要

Docker-VPS上のコンテナ設定ドリフト（想定外のポート公開・権限追加・イメージ差し替え）を検知し、段階的にロールバック判断を自動化する。

背景トレンド（GitHub / Reddit / V2EX）

• Compose運用での「静かな設定劣化」対策として、ランタイム監視＋差分台帳の併用が拡大。
• eBPFベースの軽量可視化と、GitOps連携の組み合わせが議論の中心。

OpenClawでの実現手順

1. config有効化

• exec / cron / sessions_spawn / message / web_fetch を有効化。
• デプロイ判定ポリシー（許容ドリフト・即時停止条件）を設定。

2. API取得

• コンテナメトリクスAPI（Prometheus等）を取得。
• イメージ署名検証APIまたはレジストリAPIを取得。
• チケットAPI（障害起票）を取得。

3. 運用設定

• サブエージェントA: docker inspect 差分を周期取得。
• サブエージェントB: eBPF/ログから権限逸脱を検知。
• エージェント: ドリフトを low medium high で分類し、ユーザーへ要点通知。
• high は canary 停止→前版再起動→検証の順で自動実行し、記録を Vault に保存。

実例リンク

• X: 準備中
• note: 準備中
• GitHub: https://github.com/cilium/tetragon https://github.com/aquasecurity/trivy
• Moltbook: 準備中

タグ

#OpenClaw #DockerVPS #DriftDetection #eBPF #DevSecOps