最適化された Windows AMI を使用してノードを作成する - Amazon EKS

最適化された Windows AMI を使用してノードを作成する

Windows Amazon EKS 最適化 AMI は Windows Server 2019 と Windows Server 2022 上に構築されています。Amazon EKS ノードのベースイメージとして機能するように構成されています。デフォルトでは、AMI には次のコンポーネントが含まれています。

注記

WindowsMicrosoft のセキュリティ更新プログラムガイドを使用して、 Server のセキュリティイベントやプライバシーイベントを追跡できます。

Amazon EKS は、次のバリアントで Windows コンテナに最適化された AMI を提供しています。

  • Amazon EKS 最適化 Windows Server 2019 Core AMI

  • Amazon EKS 最適化 Windows Server 2019 Full AMI

  • Amazon EKS 最適化 Windows Server 2022 Core AMI

  • Amazon EKS 最適化 Windows Server 2022 Full AMI

重要
  • Amazon EKS 最適化 Windows Server 20H2 Core AMI は非推奨です。この AMI の新しいバージョンはリリースされません。

  • 最新のセキュリティ更新プログラムがデフォルトで適用されるように、Amazon EKS は直近 4 か月間の最適化 Windows AMI を維持します。新しい AMI はそれぞれ、初回リリースから 4 か月間使用できます。この期間が過ぎると、古い AMI は非公開になり、アクセス不可になります。セキュリティの脆弱性を回避し、サポート期間が終了した古い AMI にアクセスできなくなることを防ぐために、最新の AMI を使用することをお勧めします。非公開になった AMI へのアクセスを可能にできるかは保証できませんが、AWS サポートにチケットを提出することでアクセスをリクエストできます。

リリースカレンダー

以下の表は、Amazon EKS における Windows バージョンのサポートリリース日、および終了日を示しています。終了日が空白の場合、そのバージョンのサポートは継続されています。

Windows のバージョン Amazon EKS リリース Amazon EKS のサポート終了

Windows Server 2022 Core

10/17/2022

Windows Server 2022 Full

10/17/2022

Windows Server 20H2 Core

8/12/2021

8/9/2022

Windows Server 2004 Core

8/19/2020

12/14/2021

Windows Server 2019 Core

10/7/2019

Windows Server 2019 Full

10/7/2019

Windows Server 1909 Core

10/7/2019

12/8/2020

ブートストラップスクリプトの設定パラメータ

Windows ノードを作成すると、ノード上にさまざまなパラメータが設定できるスクリプトができます。設定によりますが、このスクリプトはノード上の次のような場所で確認できます。C:\Program Files\Amazon\EKS\Start-EKSBootstrap.ps1。カスタムパラメータ値は、ブートストラップスクリプトの引数として指定できます。例えば、起動テンプレートのユーザーデータを更新できます。詳細については、「Amazon EC2 ユーザーデータ」を参照してください。

このスクリプトには次のコマンドラインパラメータが含まれます。

  • -EKSClusterName - このワーカーノードを参加させるための Amazon EKS クラスター名を指定します。

  • -KubeletExtraArgs - kubelet の追加引数を指定します (オプション)。

  • -KubeProxyExtraArgs - kube-proxy の追加引数を指定します (オプション)。

  • -APIServerEndpoint — Amazon EKS クラスター API サーバーエンドポイントを指定します (オプション)。-Base64ClusterCA と共に使用した場合のみ有効となります。Get-EKSCluster の呼び出しをバイパスします。

  • -Base64ClusterCA — Base64 でエンコードされたクラスターの CA の内容を指定します (オプション)。-APIServerEndpoint と共に使用した場合のみ有効となります。Get-EKSCluster の呼び出しをバイパスします。

  • -DNSClusterIP — クラスター内の DNS クエリに使用する IP アドレスを上書きします (オプション)。プライマリインターフェイスの IP アドレスに基づく 10.100.0.10 または 172.20.0.10 のデフォルトです。

  • -ServiceCIDR— クラスターサービスの宛先となる Kubernetes サービスの IP アドレス範囲をオーバーライドします。プライマリインターフェイスの IP アドレスに基づく 172.20.0.0/16 または 10.100.0.0/16 のデフォルトです。

  • -ExcludedSnatCIDRs — 送信元ネットワークアドレス変換 (SNAT) から除外する IPv4 CIDR のリストです。つまり、VPC アドレスで呼び出し可能なポッドプライベート IP は、アウトバウンドトラフィック用のインスタンス ENI のプライマリ IPv4 アドレスの IP アドレスに変換されません。デフォルトでは、Amazon EKS Windows ノードの VPC の IPv4 CIDR が追加されます。このパラメータに CIDR を指定すると、指定した CIDR も除外されます。詳細については、「podsのアウトバウンドインターネットアクセスを有効にする」を参照してください。

コマンドラインパラメータに加えて、いくつかの環境変数パラメータを指定することもできます。コマンドラインパラメータを指定する場合、そのパラメータはそれぞれの環境変数よりも優先されます。ブートストラップスクリプトはマシンスコープの変数のみを読み取るため、環境変数はマシン (またはシステム) スコープとして定義する必要があります。

このスクリプトでは、次の環境変数が考慮されます。

  • SERVICE_IPV4_CIDR — 定義については、ServiceCIDR コマンドラインパラメータを参照してください。

  • EXCLUDED_SNAT_CIDRS — コンマ区切りの文字列にする必要があります。定義については ExcludedSnatCIDRs コマンドラインパラメータを参照してください。

gMSA 認証サポート

Amazon EKS Windows Pods は、さまざまなタイプのグループ管理サービスアカウント (gMSA) 認証が可能です。

  • Amazon EKS は認証用の Active Directory ドメインアイデンティティをサポートしています。ドメイン参加型 gMSA の詳細については、AWS ブログの「Amazon EKS Windowspods の Windows 認証」を参照してください。

  • Amazon EKS では、非ドメイン参加型 Windows ノードがポータブルなユーザーアイデンティティを使用して gMSA 認証情報を取得できるようにするプラグインが提供されています。ドメインレス gMSA の詳細については、AWS ブログの「Amazon EKS Windowspods のドメインレス Windows 認証」を参照してください。

キャッシュされたコンテナイメージ

Amazon EKS Windows 最適化 AMI には、containerd のランタイムのためにキャッシュされたコンテナイメージが含まれます。コンテナイメージは、Amazon 管理ビルドコンポーネントを使用してカスタム AMI を構築するときにキャッシュされます。詳細については、「Amazon 管理ビルドコンポーネントを使用する」を参照してください。

containerd ランタイムのキャッシュされたコンテナイメージは以下のとおりです。

  • amazonaws.com/eks/pause-windows

  • mcr.microsoft.com/windows/nanoserver

  • mcr.microsoft.com/windows/servercore

詳細情報

Amazon EKS 最適化 Windows AMI の詳細については、以下のセクションを参照してください。