Amazon EKS 最適化 Windows AMI

Windows Amazon EKS 最適化 AMI は Windows Server 2019 と Windows Server 2022 上に構築されています。Amazon EKS ノードのベースイメージとして機能するように構成されています。デフォルトでは、AMI には次のコンポーネントが含まれています。

• kubelet

• kube-proxy

• AWS IAM Authenticator for Kubernetes

• csi-proxy

• containerd

注記

Microsoft セキュリティアップデートガイド を使用して、Windows サーバーのセキュリティまたはプライバシーイベントを追跡できます。

Amazon EKS は、次のバリアントで Windows コンテナに最適化された AMI を提供しています。

• Amazon EKS 最適化 Windows Server 2019 Core AMI

• Amazon EKS 最適化 Windows Server 2019 Full AMI

• Amazon EKS 最適化 Windows Server 2022 Core AMI

• Amazon EKS 最適化 Windows Server 2022 Full AMI

重要

• Amazon EKS 最適化 Windows Server 20H2 Core AMI は非推奨です。この AMI の新しいバージョンはリリースされません。

• 最新のセキュリティ更新プログラムがデフォルトで適用されるように、Amazon EKS は直近 4 か月間の最適化 Windows AMI を維持します。新しい AMI はそれぞれ、初回リリースから 4 か月間使用できます。この期間が過ぎると、古い AMI は非公開になり、アクセス不可になります。セキュリティの脆弱性を回避し、サポート期間が終了した古い AMI にアクセスできなくなることを防ぐために、最新の AMI を使用することをお勧めします。非公開になった AMI へのアクセスを可能にする事は保証できませんが、AWS Supportにチケットを提出することでアクセスをリクエストできます。

リリースカレンダー

以下の表は、Amazon EKS における Windows バージョンのサポートリリース日、および終了日を示しています。終了日が空白の場合、そのバージョンのサポートは継続されています。

Windows バージョン	Amazon EKS リリース	Amazon EKS のサポート終了
Windows Server 2022 Core	10/17/2022
Windows Server 2022 Full	10/17/2022
Windows Server 20H2 Core	8/12/2021	8/9/2022
Windows Server 2004 Core	8/19/2020	12/14/2021
Windows Server 2019 Core	10/7/2019
Windows Server 2019 Full	10/7/2019
Windows Server 1909 Core	10/7/2019	12/8/2020

ブートストラップスクリプトの設定パラメータ

Windows ノードを作成すると、ノード上にさまざまなパラメータが設定できるスクリプトができます。設定によりますが、このスクリプトはノード上の次のような場所で確認できます。C:\Program Files\Amazon\EKS\Start-EKSBootstrap.ps1。カスタムパラメータ値は、ブートストラップスクリプトの引数として指定できます。例えば、起動テンプレートのユーザーデータを更新できます。詳細については、「Amazon EC2 ユーザーデータ」を参照してください。

このスクリプトには次のコマンドラインパラメータが含まれます。

• -EKSClusterName － このワーカーノードを参加させるための Amazon EKS クラスター名を指定します。

• -KubeletExtraArgs - kubelet の追加引数を指定します (オプション)。

• -KubeProxyExtraArgs — kube-proxy の追加引数を指定します (オプション)。

• -APIServerEndpoint — Amazon EKS クラスター API サーバーエンドポイントを指定します (オプション)。-Base64ClusterCA と共に使用した場合のみ有効となります。Get-EKSCluster の呼び出しをバイパスします。

• -Base64ClusterCA — Base64 でエンコードされたクラスターの CA の内容を指定します (オプション)。-APIServerEndpoint と共に使用した場合のみ有効となります。Get-EKSCluster の呼び出しをバイパスします。

• -DNSClusterIP — クラスター内の DNS クエリに使用する IP アドレスを上書きします (オプション)。プライマリインターフェイスの IP アドレスに基づく 10.100.0.10 または 172.20.0.10 のデフォルトです。

• -ServiceCIDR— クラスターサービスの宛先となる Kubernetes サービスの IP アドレス範囲をオーバーライドします。プライマリインターフェイスの IP アドレスに基づく 172.20.0.0/16 または 10.100.0.0/16 のデフォルトです。

• -ExcludedSnatCIDRs — 送信元ネットワークアドレス変換 (SNAT) から除外する IPv4 CIDR のリストです。つまり、VPC アドレスで呼び出し可能なポッドプライベート IP は、アウトバウンドトラフィック用のインスタンス ENI のプライマリ IPv4 アドレスの IP アドレスに変換されません。デフォルトでは、Amazon EKS Windows ノードの VPC の IPv4 CIDR が追加されます。このパラメータに CIDR を指定すると、指定した CIDR も除外されます。詳細については、「Pods の SNAT」を参照してください。

コマンドラインパラメータに加えて、いくつかの環境変数パラメータを指定することもできます。コマンドラインパラメータを指定する場合、そのパラメータはそれぞれの環境変数よりも優先されます。ブートストラップスクリプトはマシンスコープの変数のみを読み取るため、環境変数はマシン (またはシステム) スコープとして定義する必要があります。

このスクリプトでは、次の環境変数が考慮されます。

• SERVICE_IPV4_CIDR — 定義については、ServiceCIDR コマンドラインパラメータを参照してください。

• EXCLUDED_SNAT_CIDRS — コンマ区切りの文字列にする必要があります。定義については ExcludedSnatCIDRs コマンドラインパラメータを参照してください。

セルフマネージド型 Windows Server 2022 ノードを eksctl で起動する

以下の test-windows-2022.yaml は、Windows Server 2022 をセルフマネージド型ノードとして実行するためのリファレンスとして使用できます。example value をすべて自分の値に置き換えてください。

注記

セルフマネージド型 Windows Server 2022 ノードを実行するには、eksctl バージョン 0.116.0 以降を使用する必要があります。

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: windows-2022-cluster
  region: region-code
  version: '1.30'

nodeGroups:
  - name: windows-ng
    instanceType: m5.2xlarge
    amiFamily: WindowsServer2022FullContainer
    volumeSize: 100
    minSize: 2
    maxSize: 3
  - name: linux-ng
    amiFamily: AmazonLinux2
    minSize: 2
    maxSize: 3

ノードグループは、次のコマンドを使用して作成できます。

eksctl create cluster -f test-windows-2022.yaml

gMSA 認証サポート

Amazon EKS Windows Pods は、さまざまなタイプのグループ管理サービスアカウント (gMSA) 認証が可能です。

• Amazon EKS は認証用の Active Directory ドメインアイデンティティをサポートしています。ドメイン参加型 gMSA の詳細については、AWS ブログの「Amazon EKS Windowspods の Windows 認証」を参照してください。

• Amazon EKS では、非ドメイン参加型 Windows ノードがポータブルなユーザーアイデンティティを使用して gMSA 認証情報を取得できるようにするプラグインが提供されています。ドメインレス gMSA の詳細については、AWS ブログの「Amazon EKS Windowspods のドメインレス Windows 認証」を参照してください。

キャッシュされたコンテナイメージ

Amazon EKS Windows 最適化 AMI には、containerd のランタイムのためにキャッシュされたコンテナイメージが含まれます。コンテナイメージは、Amazon 管理ビルドコンポーネントを使用してカスタム AMI を構築するときにキャッシュされます。詳細については、「Amazon 管理ビルドコンポーネントを使用する」を参照してください。

containerd ランタイムのキャッシュされたコンテナイメージは以下のとおりです。

• amazonaws.com/eks/pause-windows

• mcr.microsoft.com/windows/nanoserver

• mcr.microsoft.com/windows/servercore

詳細情報

Amazon EKS 最適化 Windows AMI の詳細については、以下のセクションを参照してください。

• Windows をマネージド型ノードグループと使用するには、「マネージド型ノードグループ」を参照してください。

• セルフマネージド型 Windows ノードを起動するには、「セルフマネージド型 Windows ノードの起動」を参照してください。

• バージョンについては、「Amazon ECS に最適化された Windows AMI バージョン」を参照してください。

• Amazon EKS 最適化 Windows AMI の最新の ID を取得するには、「Amazon EKS 最適化 Windows AMI ID の取得」を参照してください。

• Amazon EC2 Image Builder を使用して、カスタムの Amazon EKS 最適化 Windows AMI を作成するには、「Amazon EKS に最適化されたカスタム Windows AMI の作成」を参照してください。

• ベストプラクティスについては、「EKS ベストプラクティスガイド」の「Amazon EKS optimized Windows AMI management」を参照してください。