NemoClaw + LiteLLM 統合: セキュアな組織向けBedrock環境の構築

[kosaku-sim]

目的

AWS CloudFormation テンプレートに NVIDIA NemoClaw（OpenShell）サンドボックスと LiteLLM プロキシを統合し、カーネルレベルで隔離されたセキュアな AI エージェント基盤を構築する。

アーキテクチャ

Browser → SSM Port Forward → host:18789 (SSH LocalForward)
  → Sandbox:18789 (OpenClaw Gateway)
  → https://inference.local (OpenShell managed inference proxy)
  → host.openshell.internal:4000 (LiteLLM on host)
  → Amazon Bedrock (IAM Role)

コンポーネント構成

コンポーネント	実行場所	役割
OpenClaw	sandbox 内	AI エージェント。チャット、コード実行、ツール呼び出し
OpenShell	k3s クラスタ (Docker)	サンドボックスのライフサイクル管理、inference proxy、ネットワークポリシー
LiteLLM	ホスト OS (systemd)	OpenAI API 形式 → Bedrock API のプロトコル変換
Amazon Bedrock	AWS	LLM推論（Nova Lite 2、Claude 等）

セキュリティモデル（3層のLinuxカーネル隔離）

• Landlock LSM: /sandbox と /tmp のみ書き込み可。ホストの SSH キーや .env は不可視
• seccomp-BPF: mount, ptrace, reboot 等の危険なシステムコールをブロック
• Network Namespace: デフォルトで全アウトバウンド通信を遮断。https://inference.local のみ許可
• クレデンシャル注入: API キーはホスト側の OpenShell プロキシが保持。sandbox 内には存在しない

従来方式（EnableSandbox=false）との比較

項目	従来（Docker sandbox）	本実装（NemoClaw sandbox）
OpenClaw の場所	ホストに直接インストール (npm, 22GB)	sandbox イメージに内蔵（~5GB）
コード実行の隔離	OpenClaw 内蔵の Docker sandbox（アプリレベル）	Landlock + seccomp + Network Namespace（カーネルレベル）
ネットワーク隔離	Docker network（インターネット到達可能）	デフォルト全遮断、allowlist のみ
API キーの保護	コンテナ内の環境変数に存在	sandbox 内に存在しない（プロキシが注入）
LLM アクセス経路	OpenClaw → Bedrock（直接）	OpenClaw → inference.local → LiteLLM → Bedrock

NemoClaw sandbox は OpenClaw 自体をカーネルレベルで隔離するため、従来の Docker sandbox（Docker-in-Docker）は不要。

実装内容

scripts/setup-nemoclaw-litellm.sh — セットアップスクリプト

1. inotify 制限設定（k3s 安定動作に必須）
2. LiteLLM プロキシのインストールと systemd サービス化
3. OpenShell CLI のインストール（NemoClaw installer 経由）
4. OpenShell ゲートウェイ起動
5. host.openshell.internal の IP 修正（Docker network gateway IP を動的検出）
6. LiteLLM を OpenAI 互換プロバイダーとして登録 + inference route 設定
7. Sandbox policy 作成
8. サンドボックス作成 + CRD hostAliases パッチ + Pod 再作成
9. SSH 経由で OpenClaw 設定配信 + ゲートウェイ起動
10. SSH LocalForward の systemd サービス化

clawdbot-bedrock.yaml — CloudFormation テンプレート

• EnableSandbox パラメータ（デフォルト: true）で NemoClaw+LiteLLM を制御
• sandbox mode 時に inotify 制限を自動設定
• EnableSandbox=false は従来通り Bedrock 直接接続

ドキュメント

• SECURITY.md, TROUBLESHOOTING.md, README.md, DEPLOYMENT.md を更新

対象ファイル

• clawdbot-bedrock.yaml (Linux template)
• scripts/setup-nemoclaw-litellm.sh (セットアップスクリプト)
• 関連ドキュメント (README.md, DEPLOYMENT.md, SECURITY.md, TROUBLESHOOTING.md)

[kosaku-sim]

実装完了レポート — NemoClaw + LiteLLM 統合

変更ファイル一覧

ファイル	変更内容
clawdbot-bedrock.yaml	メイン修正（660行→1136行）
SECURITY.md	NemoClaw+LiteLLMアーキテクチャに書き換え
TROUBLESHOOTING.md	NemoClaw/LiteLLMトラブルシューティング追加
README.md	アーキテクチャ図・パラメータ表更新
DEPLOYMENT.md	NemoClaw/LiteLLM確認手順追加

---

CloudFormationテンプレート (clawdbot-bedrock.yaml) 修正詳細

1. Parameters

• EnableSandbox の Description を NemoClaw+LiteLLM の意味に更新
• AllowedValues 明示化（true/false）
• ParameterGroups に「Sandbox Configuration」ラベル追加

2. WaitCondition タイムアウト延長

• 900秒（15分）→ 1200秒（20分）
• LiteLLM pip install + NemoClaw セットアップ分のマージン

3. UserData — LiteLLM インストール（EnableSandbox=true 時のみ）

• python3-venv で /opt/litellm に仮想環境作成
• litellm[proxy] をインストール
• /etc/litellm/config.yaml に全10モデルのルーティング定義を生成
  • global.amazon.nova-2-lite-v1:0 → bedrock/amazon.nova-lite-v1:0
  • global.anthropic.claude-sonnet-4-5-* → bedrock/anthropic.claude-sonnet-4-5-*
  • 他8モデルも同様にマッピング
• systemd service litellm.service を作成（127.0.0.1:4000、User=ubuntu）
• ヘルスチェック: curl http://127.0.0.1:4000/health を30回ポーリング（2秒間隔）

4. UserData — NemoClaw インストール（プレースホルダ）

• 配布方法未確定のためプレースホルダとして実装
• 候補: pip install nemoclaw / バイナリダウンロード / npm install -g nemoclaw

5. UserData — NemoClaw ネットワークポリシー

• /etc/nemoclaw/policies/strict-bedrock.yaml を生成
• ネットワーク: default_action: deny、127.0.0.1:4000 (tcp) のみ許可
• ファイルシステム: ~/.openclaw (rw)、~/.aws (ro) のみマウント

6. UserData — openclaw.json の分岐

• NemoClaw有効時: LiteLLM経由（api: "openai", baseUrl: "http://127.0.0.1:4000", auth: "none"）
• NemoClaw無効時: Bedrock直接（既存コードそのまま維持）

7. UserData — Gateway起動方法の分岐

• NemoClaw有効時: systemd service openclaw-nemoclaw.service
  • After=litellm.service, Requires=litellm.service
  • ExecStart=nemoclaw run --policy ... --mount ... --port-forward 18789:18789 -- openclaw gateway
  • 環境変数: OPENAI_API_BASE=http://127.0.0.1:4000
• NemoClaw無効時: 既存の openclaw gateway install + systemd user service フロー

8. Outputs セクション

• SandboxMode 出力を追加（EnableDocker 条件で表示切替）

---

統合後のアーキテクチャ

Host EC2 (Ubuntu 24.04)
├── LiteLLM (systemd, port 4000, loopback) ──IAM──▶ Amazon Bedrock
└── NemoClaw sandbox
    └── OpenClaw gateway (port 18789)
        └── Can ONLY reach 127.0.0.1:4000

---

未確定事項（要対応）

項目	状態	対策
NemoClawの配布方法	未確定	プレースホルダで実装済み、確定後に差し替え
NemoClaw CLIフラグ (--policy, --mount, --port-forward)	仮定値	実際のCLIに合わせて調整
LiteLLM Bedrockモデル名マッピング (global./us.プレフィックス)	要検証	デプロイ時に動作確認
OpenClawの api: "openai" プロバイダ互換性	要検証	OpenClawドキュメントで確認

---

検証方法

1. aws cloudformation validate-template --template-body file://clawdbot-bedrock.yaml
2. EnableSandbox=true でデプロイ → LiteLLM (port 4000) + NemoClaw + Gateway (port 18789) の起動確認
3. ネットワーク隔離テスト: sandbox内から curl https://example.com が失敗することを確認
4. EnableSandbox=false でデプロイ → 既存動作と同一であることを確認