Amazon EKS クラスターの作成

このトピックでは、使用可能なオプションの概要と、Amazon EKS クラスターの作成時に考慮すべき点を説明します。AWS Outpost でクラスターを作成する必要がある場合は、「AWS Outposts の Amazon EKS のローカルクラスター」を参照してください。Amazon EKS クラスターを初めて作成する場合は、Amazon EKS の使用開始 ガイドのいずれかに従うことをお勧めします。これらのガイドは、使用可能なすべてのオプションを展開することなく、シンプルでデフォルトのクラスターを作成するのに役立ちます。

前提条件

• Amazon EKS の要件 を満たす既存の VPC とサブネット。本番用にクラスターをデプロイする前に、VPC とサブネットの要件を十分に理解しておくことをお勧めします。VPC とサブネットがない場合は、Amazon EKS に用意されている AWS CloudFormation テンプレート を使用して作成できます。

• デバイスまたは AWS CloudShell に、kubectl コマンドラインツールがインストールされていること。バージョンは、ご使用のクラスターの Kubernetes バージョンと同じか、1 つ前のマイナーバージョン以前、あるいはそれより新しいバージョンが使用できます。例えば、クラスターのバージョンが 1.28 である場合、kubectl のバージョン 1.27、1.28、または 1.29 が使用できます。kubectl をインストールまたはアップグレードする方法については、「kubectl のインストールまたは更新」を参照してください。

• ご使用のデバイスまたは AWS CloudShell で、バージョン 2.12.3 以降、または AWS Command Line Interface (AWS CLI) のバージョン 1.27.160 以降がインストールおよび設定されていること。現在のバージョンを確認するには、「aws --version | cut -d / -f2 | cut -d ' ' -f1」を参照してください。macOS の yum、apt-get、または Homebrew などのパッケージマネージャは、AWS CLI の最新バージョンより数バージョン遅れることがあります。最新バージョンをインストールするには、「AWS Command Line Interface ユーザーガイド」の「AWS CLI のインストール、更新、およびアンインストール」と「aws configure でのクイック設定」を参照してください。AWS CloudShell にインストールされている AWS CLI バージョンは、最新バージョンより数バージョン遅れている可能性もあります。更新するには、「AWS CloudShell ユーザーガイド」の「ホームディレクトリへの AWS CLI のインストール」を参照してください。

• Amazon EKS クラスターを create および describe するための許可を持つ IAM プリンシパル。詳細については、Outpost にローカル Kubernetes クラスターを作成しますおよびすべてのクラスターの一覧表示または説明を参照してください。

Amazon EKS クラスターを作成するには

1. 既にクラスター IAM ロールがある場合、または eksctl を使用してクラスターを作成する場合は、このステップはスキップできます。デフォルトでは、eksctl により、ロールが自動的に作成されます。

   Amazon EKS クラスター IAM ロールを作成するには

   1. IAM 信頼ポリシー用の JSON ファイルを作成するには、次のコマンドを実行します。

      cat >eks-cluster-role-trust-policy.json <<EOF
      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "Service": "eks.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      EOF
      

   2. Amazon EKS クラスターの IAM ロールを作成します。必要であれば、前のステップでファイルを書き込んだコンピュータ上のパスを eks-cluster-role-trust-policy.json の前につけます。このコマンドは、前のステップで作成した信頼ポリシーをロールに関連付けます。IAM ロールを作成するには、ロールを作成する IAM プリンシパルに iam:CreateRole アクション (許可) を割り当てる必要があります。

      aws iam create-role --role-name myAmazonEKSClusterRole --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"
      

   3. Amazon EKS 管理のポリシーを割り当てるか、独自のカスタムポリシーを作成できます。カスタムポリシーで使用する必要がある最小限の許可については、「Amazon EKS クラスター の IAM ロール」を参照してください。

      このロールに、Amazon EKS 管理の IAM ポリシー (AmazonEKSClusterPolicy) をアタッチします。IAM ポリシーを IAM プリンシパルにアタッチするには、ポリシーのアタッチを行っているプリンシパルに、次のいずれかの IAM アクション (許可) を割り当てる必要があります: iam:AttachUserPolicy または iam:AttachRolePolicy。

      aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy --role-name myAmazonEKSClusterRole
      

   表示を増やす表示を減らす

2. Amazon EKS クラスターを作成します。

   eksctl、AWS Management Console、または AWS CLI を使用してクラスターを作成できます。

   eksctl

   前提条件

   デバイスまたは AWS CloudShell にインストールされている eksctl コマンドラインツールのバージョン 0.175.0 以降。eksctl をインストールまたはアップグレードするには、eksctl ドキュメントの「インストール」を参照してください。

   クラスターを作成するには

   デフォルトの AWS リージョン に、Amazon EKS デフォルトの Kubernetes バージョンを使用して、Amazon EKS IPv4 クラスターを作成します。コマンドを実行する前に、次の置き換えを行います。

   • region-code を、クラスターを作成する AWS リージョン に置き換えます。

   • my-cluster をクラスターの名前に置き換えます。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、100 文字より長くすることはできません。名前は、クラスターを作成する AWS リージョンおよび AWS アカウント内で一意である必要があります。

   • 1.28 を Amazon EKS がサポートする任意のバージョンに置き換えます。

   • 要件を満たすように vpc-private-subnets の値を変更します。さらに ID を追加することもできます。少なくとも 2 つのサブネット ID を指定する必要があります。パブリックサブネットを指定する場合は、--vpc-private-subnets を --vpc-public-subnets に変更できます。パブリックサブネットには、インターネットゲートウェイへのルートに関連付けられたルートテーブルがありますが、プライベートサブネットには関連付けられたルートテーブルがありません。可能な限り、プライベートサブネットを使用することをお勧めします。

     選択するサブネットは Amazon EKS サブネットの要件を満たす必要があります。サブネットを選択する前に、Amazon EKS VPC およびサブネットの要件と考慮事項をすべて理解しておくことをお勧めします。

   eksctl create cluster --name my-cluster --region region-code --version 1.28 --vpc-private-subnets subnet-ExampleID1,subnet-ExampleID2 --without-nodegroup
   

   クラスターのプロビジョニングには数分かかります。クラスターの作成中は、数行の出力が表示されます。出力の最後の行は、次のサンプル行のようになります。

   [✓]  EKS cluster "my-cluster" in "region-code" region is ready

   ヒント

   eksctl を使用してクラスターを作成するときに指定できるほとんどのオプションを表示するには、eksctl create cluster --help コマンドを使用します。使用可能なオプションをすべて表示するには、config ファイルを使用します。詳細については、「eksctl ドキュメント」の「Using config files」(設定ファイルの使用) と「設定ファイルのスキーマ」を参照してください。設定ファイルの例は、GitHub で見つけることができます。

   オプション設定

   必要に応じて前のコマンドに追加する必要があるオプションの設定を次に示します。これらのオプションは、クラスターの作成時にのみ有効にすることができ、作成後は有効にできません。これらのオプションを指定する必要がある場合は、前のコマンドを使用するのではなく、eksctl config ファイルを使用してクラスターを作成し、設定を指定する必要があります。

   • Amazon EKS が作成するネットワークインターフェイスに割り当てる 1 つまたは複数のセキュリティグループを指定する場合は、securityGroup オプションを指定します。

     セキュリティグループを選択するかどうかにかかわらず、Amazon EKS はクラスターと VPC 間の通信を可能にするセキュリティグループを作成します。Amazon EKS は、このセキュリティグループおよびユーザーが選択したセキュリティグループを、作成するネットワークインターフェイスに関連付けます。Amazon EKS が作成するクラスターセキュリティグループの詳細については、「Amazon EKS セキュリティグループの要件および考慮事項」を参照してください。Amazon EKS が作成するクラスターセキュリティグループのルールを変更できます。

   • Kubernetes がサービス IP アドレスを割り当てる IPv4 Classless Inter-Domain Routing (CIDR) ブロックを指定する場合は、serviceIPv4CIDR オプションを指定します。

     独自の範囲を指定すると、Kubernetes サービスと VPC にピアリングまたは接続されたその他のネットワークとの間の競合を防ぐことができます。CIDR 表記で範囲を入力します。例: 10.2.0.0/16。

     この　CIDR ブロックでは、以下の要件を満たす必要があります。

     • 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のいずれかの範囲内にある。

     • 最小サイズが /24、最大サイズが /12。

     • Amazon EKS リソースの VPC の範囲と重複しない。

     このオプションを指定できるのは、IPv4 アドレスファミリーを使用してクラスターを作成するときのみです。これを指定しない場合、Kubernetes は、10.100.0.0/16 または 172.20.0.0/16 のいずれかの CIDR ブロックからサービス IP アドレスを割り当てます。

   • クラスターを作成していて、そのクラスターで IPv4 アドレスではなく IPv6 アドレスを Pods とサービスに割り当てるようにする場合は、ipFamily オプションを指定します。

     Kubernetes は、デフォルトで IPv4 アドレスを Pods とサービスに割り当てます。IPv6 ファミリーの使用を決定する前に、VPC の要件と考慮事項、サブネットの要件と考慮事項、Amazon EKS セキュリティグループの要件および考慮事項、および クラスター、Pods、services 用の IPv6 アドレス のトピックの考慮事項と要件をすべて理解していることを確認します。IPv6 ファミリーを選択すると、Kubernetes が IPv6 サービスアドレスを割り当てる範囲を IPv4 ファミリーで指定できるようには指定できません。Kubernetes は特定のローカルアドレス範囲 (fc00::/7) からサービスアドレスを割り当てます。

   AWS Management Console

   クラスターを作成するには

   1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

   2. [クラスターを追加]、[作成] の順にクリックします。

   3. [クラスターの設定] ページで、次のフィールドに入力します。

      • [名前] - クラスターの名前。AWS アカウント内で一意である必要があります。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、100 文字より長くすることはできません。名前は、クラスターを作成する AWS リージョンおよび AWS アカウント内で一意である必要があります。

      • Kubernetes バージョン - クラスターに使用する Kubernetes のバージョン。以前のバージョンが必要でない限り、最新バージョンを選択することをお勧めします。

      • [クラスターサービスロール] - ユーザーに代わって AWS リソースを管理することを Kubernetes コントロールプレーンに許可するために作成した Amazon EKS クラスター IAM ロールを選択します。

      • [シークレット暗号化] - (オプション) KMS キーを使用して Kubernetes シークレットのシークレット暗号化を有効にするよう選択します。クラスターを作成した後で、これを有効にすることもできます。この機能を有効にする前に、既存のクラスター上でシークレット暗号化を有効にする の情報をよく理解していることを確認してください。

      • [タグ] - (オプション) クラスターにタグを追加します。詳細については、「Amazon EKS リソースのタグ付け」を参照してください。

        このページを読み終えたら、[次へ] を選択します。

   4. [ネットワーキングの指定] ページで、次のフィールドの値を選択します。

      • [VPC] – Amazon EKS VPC 要件を満たす既存の VPC を選択し、そこでクラスターを作成します。VPC を選択する前に、Amazon EKS VPC およびサブネットの要件と考慮事項 の要件と考慮事項をすべて理解しておくことをお勧めします。クラスターの作成後は、使用する VPC を変更できません。VPC が表示されていない場合は、まず作成する必要があります。詳細については、「Amazon EKS クラスター VPC の作成」を参照してください。

      • [サブネット] - デフォルトで、前のフィールドで指定した VPC 内の利用可能なすべてのサブネットがあらかじめ選択されています。少なくとも 2 つ選択する必要があります。

        選択するサブネットは Amazon EKS サブネットの要件を満たす必要があります。サブネットを選択する前に、Amazon EKS VPC およびサブネットの要件と考慮事項をすべて理解しておくことをお勧めします。

        [セキュリティグループ] - (オプション) Amazon EKS が作成するネットワークインターフェイスに関連付ける 1 つまたは複数のセキュリティグループを指定します。

        セキュリティグループを選択するかどうかにかかわらず、Amazon EKS はクラスターと VPC 間の通信を可能にするセキュリティグループを作成します。Amazon EKS は、このセキュリティグループおよびユーザーが選択したセキュリティグループを、作成するネットワークインターフェイスに関連付けます。Amazon EKS が作成するクラスターセキュリティグループの詳細については、「Amazon EKS セキュリティグループの要件および考慮事項」を参照してください。Amazon EKS が作成するクラスターセキュリティグループのルールを変更できます。

      • クラスターの IP アドレスファミリーの選択 – IPv4 と IPv6 のどちらかを選択できます。

        Kubernetes は、デフォルトで IPv4 アドレスを Pods とサービスに割り当てます。IPv6 ファミリーの使用を決定する前に、VPC の要件と考慮事項、サブネットの要件と考慮事項、Amazon EKS セキュリティグループの要件および考慮事項、および クラスター、Pods、services 用の IPv6 アドレス のトピックの考慮事項と要件をすべて理解していることを確認します。IPv6 ファミリーを選択すると、Kubernetes が IPv6 サービスアドレスを割り当てる範囲を IPv4 ファミリーで指定できるようには指定できません。Kubernetes は特定のローカルアドレス範囲 (fc00::/7) からサービスアドレスを割り当てます。

      • (オプション) [Kubernetes サービス IP アドレスの範囲を設定する] を選択し、[サービスの IPv4 範囲] を指定します。

        独自の範囲を指定すると、Kubernetes サービスと VPC にピアリングまたは接続されたその他のネットワークとの間の競合を防ぐことができます。CIDR 表記で範囲を入力します。例: 10.2.0.0/16。

        この　CIDR ブロックでは、以下の要件を満たす必要があります。

        • 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のいずれかの範囲内にある。

        • 最小サイズが /24、最大サイズが /12。

        • Amazon EKS リソースの VPC の範囲と重複しない。

        このオプションを指定できるのは、IPv4 アドレスファミリーを使用してクラスターを作成するときのみです。これを指定しない場合、Kubernetes は、10.100.0.0/16 または 172.20.0.0/16 のいずれかの CIDR ブロックからサービス IP アドレスを割り当てます。

      • [クラスターエンドポイントのアクセス] で、オプションを選択します。クラスターを作成した後で、このオプションを変更できます。デフォルト以外のオプションを選択する前に、オプションとその意味を理解しておいてください。詳細については、「Amazon EKS クラスターエンドポイントアクセスコントロール」を参照してください。

        このページを読み終えたら、[次へ] を選択します。

   5. (オプション) [オブザーバビリティの設定] ページで、有効にする [メトリクス] と [コントロールプレーンのロギング] オプションを選択します。デフォルトでは、それぞれのログタイプは無効化されています。

      • Prometheus メトリクスの詳細については、「クラスターを作成するときは、Prometheus メトリクスを有効にしてください。」を参照してください。

      • [トラフィック設定] のオプションの詳細については、「Amazon EKS コントロールプレーンのログ記録」を参照してください。

      このページを読み終えたら、[次へ] を選択します。

   6. [アドオンの選択] ページで、クラスターに追加するアドオンを選択します。[Amazon EKS アドオン] と [AWS Marketplace アドオン] は必要な数だけ選択できます。インストールする [AWS Marketplace アドオン] が一覧にない場合は、検索ボックスにテキストを入力して、利用可能な [AWS Marketplace アドオン] を検索できます。[カテゴリ]、[ベンダー]、または [価格モデル] で検索し、検索結果からアドオンを選択することもできます。このページを読み終えたら、[次へ] を選択します。

   7. [選択したアドオン設定の構成] ページで、インストールするバージョンを選択し、[次へ] を選択します。クラスターを作成した後は、いつでも新しいバージョンに更新できます。クラスターの作成後に、各アドオンの設定を更新できます。アドオンの設定の詳細については、「アドオンの更新」を参照してください。このページを読み終えたら、[次へ] を選択します。

   8. [確認と作成] ページで、前のページで入力または選択した情報を確認します。変更する必要がある場合は、[編集] を選択します。そのままでよければ、[作成] を選択します。クラスターがプロビジョニングされている間、[ステータス] フィールドに [作成中] と表示されます。

      注記

      リクエストで指定したアベイラビリティーゾーンのいずれかに、Amazon EKS クラスターの作成に十分な容量がない場合には、エラーが表示されることがあります。このエラー出力には、新しいクラスターをサポートできるアベイラビリティーゾーンが表示されます。アカウント向けにサポートされているアベイラビリティーゾーンにある 2 つ以上のサブネットを使用して、クラスターを作成します。詳細については、「」を参照してください容量不足

      クラスターのプロビジョニングには数分かかります。

   AWS CLI

   クラスターを作成するには

   1. 下記のコマンドを使用して、クラスターを作成します。コマンドを実行する前に、次の置き換えを行います。

      • region-code を、クラスターを作成する AWS リージョン に置き換えます。

      • my-cluster をクラスターの名前に置き換えます。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、100 文字より長くすることはできません。名前は、クラスターを作成する AWS リージョンおよび AWS アカウント内で一意である必要があります。

      • 1.29 を Amazon EKS がサポートする任意のバージョンに置き換えます。

      • 111122223333 をアカウント ID に置き換え、myAmazonEKSClusterRole をクラスター IAM ロールに置き換えます。

      • subnetIds の値を独自の値に置き換えます。さらに ID を追加することもできます。少なくとも 2 つのサブネット ID を指定する必要があります。

        選択するサブネットは Amazon EKS サブネットの要件を満たす必要があります。サブネットを選択する前に、Amazon EKS VPC およびサブネットの要件と考慮事項をすべて理解しておくことをお勧めします。

      • セキュリティグループ ID を指定しない場合は、コマンドから ,securityGroupIds=sg-ExampleID1 を削除します。1 つまたは複数のセキュリティグループ ID を指定する場合は、securityGroupIds の値を独自の値に置き換えます。さらに ID を追加することもできます。

        セキュリティグループを選択するかどうかにかかわらず、Amazon EKS はクラスターと VPC 間の通信を可能にするセキュリティグループを作成します。Amazon EKS は、このセキュリティグループおよびユーザーが選択したセキュリティグループを、作成するネットワークインターフェイスに関連付けます。Amazon EKS が作成するクラスターセキュリティグループの詳細については、「Amazon EKS セキュリティグループの要件および考慮事項」を参照してください。Amazon EKS が作成するクラスターセキュリティグループのルールを変更できます。

      aws eks create-cluster --region region-code --name my-cluster --kubernetes-version 1.29 \
         --role-arn arn:aws:iam::111122223333:role/myAmazonEKSClusterRole \
         --resources-vpc-config subnetIds=subnet-ExampleID1,subnet-ExampleID2,securityGroupIds=sg-ExampleID1
      

      注記

      リクエストで指定したアベイラビリティーゾーンのいずれかに、Amazon EKS クラスターの作成に十分な容量がない場合には、エラーが表示されることがあります。このエラー出力には、新しいクラスターをサポートできるアベイラビリティーゾーンが表示されます。アカウント向けにサポートされているアベイラビリティーゾーンにある 2 つ以上のサブネットを使用して、クラスターを作成します。詳細については、「容量不足」を参照してください。

      オプション設定

      必要に応じて前のコマンドに追加する必要があるオプションの設定を次に示します。これらのオプションは、クラスターの作成時にのみ有効にすることができ、作成後は有効にできません。

      • Kubernetes がサービス IP アドレスを割り当てる IPv4 Classless Inter-Domain Routing (CIDR) ブロックを指定する場合は、次のコマンドに --kubernetes-network-config serviceIpv4Cidr=CIDR block を追加して指定する必要があります。

        独自の範囲を指定すると、Kubernetes サービスと VPC にピアリングまたは接続されたその他のネットワークとの間の競合を防ぐことができます。CIDR 表記で範囲を入力します。例: 10.2.0.0/16。

        この　CIDR ブロックでは、以下の要件を満たす必要があります。

        • 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のいずれかの範囲内にある。

        • 最小サイズが /24、最大サイズが /12。

        • Amazon EKS リソースの VPC の範囲と重複しない。

        このオプションを指定できるのは、IPv4 アドレスファミリーを使用してクラスターを作成するときのみです。これを指定しない場合、Kubernetes は、10.100.0.0/16 または 172.20.0.0/16 のいずれかの CIDR ブロックからサービス IP アドレスを割り当てます。

      • クラスターを作成していて、そのクラスターで IPv4 アドレスではなく IPv6 アドレスを Pods とサービスに割り当てるようにする場合は、次のコマンドに --kubernetes-network-config ipFamily=ipv6 を追加します。

        Kubernetes は、デフォルトで IPv4 アドレスを Pods とサービスに割り当てます。IPv6 ファミリーの使用を決定する前に、VPC の要件と考慮事項、サブネットの要件と考慮事項、Amazon EKS セキュリティグループの要件および考慮事項、および クラスター、Pods、services 用の IPv6 アドレス のトピックの考慮事項と要件をすべて理解していることを確認します。IPv6 ファミリーを選択すると、Kubernetes が IPv6 サービスアドレスを割り当てる範囲を IPv4 ファミリーで指定できるようには指定できません。Kubernetes は特定のローカルアドレス範囲 (fc00::/7) からサービスアドレスを割り当てます。

   2. クラスターがプロビジョニングされるまでに数分かかります。クラスターのステータスのクエリを実行するには、次のコマンドを使用します。

      aws eks describe-cluster --region region-code --name my-cluster --query "cluster.status"
      

      出力が「ACTIVE」を返すまで、次のステップに進まないでください。

3. eksctl を使用してクラスターを作成した場合、このステップはスキップできます。eksctl によってこのステップはすでに完了しているからです。新しいコンテキストを kubectl config ファイルに追加して、kubectl がクラスターと通信できるようにします。ファイルを作成および更新する方法の詳細については、「Amazon EKS クラスターの kubeconfig ファイルを作成または更新する」を参照してください。

   aws eks update-kubeconfig --region region-code --name my-cluster
   

   出力例は次のとおりです。

   Added new context arn:aws:eks:region-code:111122223333:cluster/my-cluster to /home/username/.kube/config

4. 次のコマンドを実行して、クラスターとの通信を確認します。

   kubectl get svc
   

   出力例は次のとおりです。

   NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
   kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   28h

5. (推奨) Amazon EKS アドオンを使用するか、固有の AWS Identity and Access Management (IAM) アクセス許可を個々の Kubernetes ワークロードに付与できるようにするには、クラスター用に IAM OpenID Connect (OIDC) プロバイダーを作成します。クラスター用に IAM OIDC プロバイダーを作成する必要があるのは 1 回だけです。Amazon EKS アドオンの詳細については、「Amazon EKS アドオン」を参照してください。ワークロードに特定の IAM アクセス許可を割り当てる方法については、「サービスアカウントの IAM ロール」を参照してください。

   表示を増やす表示を減らす

6. (推奨) Amazon EC2 ノードをクラスターにデプロイする前に Amazon VPC CNI plugin for Kubernetes プラグイン用にクラスターを設定します。デフォルトでは、プラグインはクラスターとともにインストールされています。Amazon EC2 ノードをクラスターに追加すると、プラグインは追加する各 Amazon EC2 ノードに自動的にデプロイされます。プラグインでは、次の IAM ポリシーのいずれかを IAM ロールにアタッチする必要があります。

   AmazonEKS_CNI_Policy マネージド IAM ポリシー

   クラスターが IPv4 ファミリーを使用している場合

   表示を増やす表示を減らす

   ユーザーが作成する IAM ポリシー

   クラスターが IPv6 ファミリーを使用している場合

   表示を増やす表示を減らす

   ポリシーをアタッチする IAM ロールは、ノード IAM ロール、またはプラグインにのみ使用される専用ロールです。このロールにポリシーをアタッチすることをお勧めします。ロールの作成の詳細については、「サービスアカウントの IAM ロールを使用する Amazon VPC CNI plugin for Kubernetes の設定」または「Amazon EKS ノードの IAM ロール」を参照してください。

   表示を増やす表示を減らす

7. AWS Management Console を使用してクラスターをデプロイした場合、このステップはスキップできます。AWS Management Console では、デフォルトで、Amazon VPC CNI plugin for Kubernetes、CoreDNS、および kube-proxy Amazon EKS アドオンがデプロイされます。

   eksctl または AWS CLI のいずれかを使用してクラスターをデプロイする場合、Amazon VPC CNI plugin for Kubernetes、CoreDNS、および kube-proxy セルフマネージド型アドオンがデプロイされます。クラスターとともに Amazon EKS アドオンにデプロイされる Amazon VPC CNI plugin for Kubernetes、CoreDNS、および kube-proxy セルフマネージド型アドオンを移行できます。詳細については、「Amazon EKS アドオン」を参照してください。

   表示を増やす表示を減らす

8. (オプション) まだ作成していない場合は、クラスターの Prometheus メトリクスを有効にできます。詳細については、「Amazon Managed Service for Prometheus ユーザーガイド」の「スクレイパーの作成」を参照してください。

9. Prometheus メトリクスを有効にした場合は、aws-auth ConfigMap スクレイパーにクラスター内のアクセス権限を付与するように設定する必要があります。詳細については、「Amazon Managed Service for Prometheus ユーザーガイド」の「Amazon EKS クラスターの設定」を参照してください。

10. Amazon EBS ボリュームを使用するクラスターにワークロードをデプロイする予定で、1.23 以降のクラスターを作成した場合、ワークロードをデプロイする前に、Amazon EBS CSI ドライバー をクラスターにインストールする必要があります。

推奨される次の手順は以下の通りです。

• クラスターを作成した IAM プリンシパルは、クラスターにアクセスできる唯一のプリンシパルです。他の IAM プリンシパルに許可を付与して、クラスターにアクセスできるようにします。

• クラスターを作成した IAM プリンシパルが、前提条件で参照されている最低限の IAM 許可しか持たない場合、そのプリンシパルに Amazon EKS 許可を追加することができます。Amazon EKS 許可を IAM プリンシパルに付与する方法については、「Amazon EKS の Identity and Access Management」を参照してください。

• クラスターを作成した IAM プリンシパル、またはその他のプリンシパルに Amazon EKS コンソールで Kubernetes リソースを表示させる場合は、必要なアクセス許可 をエンティティに付与します。

• ノードと IAM プリンシパルが VPC 内からクラスターにアクセスできるようにする場合、クラスターのプライベートエンドポイントを有効にします。デフォルトでは、パブリックエンドポイントは有効です。プライベートエンドポイントを有効にした後、必要に応じてパブリックエンドポイントを無効にできます。詳細については、「Amazon EKS クラスターエンドポイントアクセスコントロール」を参照してください。

• クラスターのシークレット暗号化を有効にする。

• クラスターのログ記録を設定する。

• クラスターにノードを追加する。