前提条件ステップ 1: クラスターを作成するステップ 2: クラスターとの通信を設定するステップ 3: ノードを作成するステップ 4: リソースを表示するステップ 5: リソースを削除する次のステップ

Amazon EKS の開始方法 – AWS Management Console と AWS CLI

このガイドでは、AWS Management Console と AWS CLI を使用して、Amazon Elastic Kubernetes Service (Amazon EKS) を使用開始するために必要なすべてのリソースを作成する方法を解説します。ここでは、各リソースを手動で作成します。このチュートリアルの終わりには、アプリケーションのデプロイが可能な、実行状態の Amazon EKS クラスターが完成します。

このガイドの手順に従うと、各リソースがどのように作成され、リソース間でどのようにやり取りするかを全面的に把握できます。大半のリソースを自動的に作成させたい場合には、クラスターとノードの作成に eksctl CLI を使用します。詳細については、「Amazon EKS の開始方法 – eksctl」を参照してください。

前提条件

このチュートリアルを開始する前に、Amazon EKS クラスターの作成と管理に必要な次のツールとリソースを、インストールおよび設定しておく必要があります。

AWS CLI – Amazon EKS など AWS のサービスを操作するためのコマンドラインツールです。このガイドでは、バージョン 2.7.21 以降または 1.25.46 以降の使用を想定しています。詳細については、ユーザーガイドの、「AWS CLI のインストール、更新、およびアンインストールAWS Command Line Interface」を参照してください。AWS CLI のインストール後は、設定も行っておくことをお勧めします。詳細については、ユーザーガイドの「aws configure でクイック設定AWS Command Line Interface」を参照してください。
kubectl - Kubernetes クラスターを操作するためのコマンドラインツール。このガイドでは、バージョン 1.23 以降の使用を想定しています。詳細については、「kubectl のインストールまたは更新」を参照してください。
IAM からの必要なアクセス許可 – ここで使用する IAM セキュリティプリンシパルには、Amazon EKS の IAM ロールおよびサービスにリンクされたロール、AWS CloudFormation、ならびに VPC とその関連リソースを操作するための権限が必要となります。詳細については、「IAM ユーザーガイド」の「Amazon Elastic Kubernetes サービスのアクション、リソース、および条件キー」および「サービスにリンクされたロールの使用」を参照してください。このガイドのすべての手順は、1 つのユーザーとして実行する必要があります。

ステップ 1: Amazon EKS クラスターを作成する

重要

可能な限りシンプルかつ迅速に使用を開始するため、このトピックでは、クラスターをデフォルトの設定で作成するステップについて説明します。本番で使用するクラスターを作成する前に、すべての設定内容に習熟した上で、要件を満たす設定でクラスターをデプロイすることをお勧めします。詳細については、「Amazon EKS クラスターの作成」を参照してください。一部の設定は、クラスターの作成時にのみ有効にできます。

クラスターを作成するには

Amazon EKS の要件を満たすように、パブリックサブネットとプライベートサブネットを持つ Amazon VPC を作成します。region-code を Amazon EKS でサポートされている AWS リージョンに置き換えます。AWS リージョンの一覧については、「AWS 全般的なリファレンスガイド」の「Amazon EKS エンドポイントとクォータ」を参照してください。my-eks-vpc-stack は、好みの任意の名前で置き換えることができます。
```
aws cloudformation create-stack \
  --region region-code \
  --stack-name my-eks-vpc-stack \
  --template-url https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/amazon-eks-vpc-private-subnets.yaml
```
ヒント
前のコマンドが作成したすべてのリソースの一覧については、AWS CloudFormation コンソール (https://console.aws.amazon.com/cloudformation) を開きます。my-eks-vpc-stack スタックを選択し、[Resources] (リソース) タブを選択します。
クラスター IAM ロールを作成し、必要な Amazon EKS IAM マネージドポリシーをそれに添付します。Amazon EKS によって管理される Kubernetes クラスターは、サービスで使用するリソースを管理するために、ユーザーに代わって他の AWS サービスを呼び出します。
1. 次の内容を eks-cluster-role-trust-policy.json という名前のファイルにコピーします。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
2. ロールを作成します。
```
aws iam create-role \
  --role-name myAmazonEKSClusterRole \
  --assume-role-policy-document file://"eks-cluster-role-trust-policy.json"
```
3. このロールに、必要な Amazon EKS 管理の IAM ポリシーをアタッチします。
```
aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name myAmazonEKSClusterRole
```
Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

コンソールの右上に表示されている AWS リージョンが、クラスターを作成する AWS リージョンであることを確認します。異なる場合は、AWS リージョン名の横にあるドロップダウンを展開し、使用する AWS リージョンを選択します。
[Add cluster] (クラスターを追加)、[Create] (作成) の順に選択します。このオプションが表示されない場合は、まず左のナビゲーションペインの [Clusters] (クラスター) を選択します。
[Configure cluster] (クラスターの設定) ページで、次の手順を実行します。
1. [Name] (名前) に、クラスターの名前 (my-cluster など) を入力します。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、100 文字より長くすることはできません。
2. [Cluster Service Role] (クラスターサービスロール) で、「myAmazonEKSClusterRole」を選択します。
3. その他の設定はデフォルト値のままにし、[Next] (次へ) をクリックします。
[Specify networking] (ネットワーキングを指定) ページで、以下の作業を行います。
1. 前のステップで [VPC] ドロップダウンリストから作成した VPC の ID を選択します。この ID は vpc-00x0000x000x0x000 | my-eks-vpc-stack-VPC のような値です。
2. その他の設定はデフォルト値のままにし、[Next] (次へ) をクリックします。
[Configure logging] (ログ記録の設定) ページで、[Next] (次へ) をクリックします。
[Review and create] (確認して作成) ページで、[Create] (作成) をクリックします。

クラスターのプロビジョニングプロセスが完了するまで、数分の間、クラスター名の右側でステータスが [Creating (作成中)] と表示されます。ステータスが [Active (アクティブ)] になるまで、次のステップに進まないでください。

注記
リクエストで指定したアベイラビリティーゾーンのいずれかに、Amazon EKS クラスターの作成に十分な容量がない場合には、エラーが表示されることがあります。このエラー出力には、新しいクラスターをサポートできるアベイラビリティーゾーンが表示されます。アカウント向けにサポートされているアベイラビリティーゾーンにある 2 つ以上のサブネットを使用して、クラスターを作成します。詳細については、「容量不足」を参照してください。

ステップ 2: 自分のコンピュータでクラスターとの通信を設定する

このセクションでは、クラスター用の kubeconfig ファイルを作成します。このファイルの設定により、kubectl CLI からクラスターへの通信ができるようになります。

クラスターと通信するようにコンピュータを設定するには

クラスター用の kubeconfig ファイルを作成もしくは更新します。region-code を、クラスターを作成する AWS リージョンに置き換えます。my-cluster を自分のクラスター名に置き換えます。
```
aws eks update-kubeconfig --region region-code --name my-cluster
```
デフォルトでは、config ファイルが ~/.kube に作成されるか、config ファイルが既に ~/.kube に存在する場合には、その中に新しいクラスター設定が追加されます。
設定をテストします。
```
kubectl get svc
```
注記
その他の認可またはリソースタイプのエラーが発生した場合は、トラブルシューティングセクションの「許可されていないか、アクセスが拒否されました (kubectl)」を参照してください。

出力例を次に示します。
```
NAME             TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
svc/kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   1m
```

ステップ 3: ノードを作成する

重要

可能な限りシンプルかつ迅速に使用を開始するため、このトピックでは、ノードをデフォルトの設定で作成するステップについて説明します。本番で使用するノードを作成する前に、すべての設定内容に習熟した上で、要件を満たす設定でノードをデプロイすることをお勧めします。詳細については、「Amazon EKS ノード」を参照してください。一部の設定は、ノードの作成時にのみ有効にできます。

クラスターの作成には、次のいずれかのノードタイプが使用できます。各タイプの詳細については、「Amazon EKS ノード」を参照してください。クラスターをデプロイした後に、他のノードタイプを追加できます。

Fargate - Linux - AWS Fargate で Linux アプリケーションを実行する場合は、このタイプのノードを選択します。Fargate は、Amazon EC2 インスタンスを管理せずに Kubernetes pods をデプロイできるサーバーレスコンピューティングエンジンです。
マネージド型ノード - Linux - 実行する場合は、このタイプのノードを選択します。このガイドでは説明しませんが、Windows セルフマネージド型ノードと Bottlerocket ノードをクラスターに追加することもできます。

Fargate – Linux

Fargate プロファイルを作成します。デプロイされる Kubernetes pods が、このプロファイルで定義される基準を満たしている場合、その pods は Fargate にデプロイされます。

Fargate プロファイルを作成するには

IAM ロールを作成して、必要な Amazon EKS IAM 管理ポリシーをアタッチします。クラスターが Fargate インフラストラクチャ上で pods を作成する場合、Fargate インフラストラクチャ上で実行されているコンポーネントは、ユーザーに代わって AWS API にコールを実行する必要があります。これは、Amazon ECR からコンテナイメージをプルしたり、ログを他の AWS サービスにルーティングしたりするなどのアクションを実行できるようにするためです。Amazon EKS の pod 実行ロールにより、これらを行うための IAM アクセス許可が付与されます。
1. 次の内容を pod-execution-role-trust-policy.json という名前のファイルにコピーします。region-code をクラスターのある AWS リージョンに置き換えます。アカウントで、すべての AWS リージョンで同じロールを使用する場合は、region-code を * に置き換えます。111122223333 をアカウント ID に置き換え、my-cluster を自分のクラスター名に置き換えます。アカウント内のすべてのクラスターに同じロールを使用する場合は、my-cluster を * に置き換えます。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
2. pod 実行 IAM ロールを作成します。
```
aws iam create-role \
  --role-name AmazonEKSFargatePodExecutionRole \
  --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
```
3. このロールに、必要な Amazon EKS 管理の IAM ポリシーをアタッチします。
```
aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
  --role-name AmazonEKSFargatePodExecutionRole
```
Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。
[Clusters] (クラスター) ページで、my-cluster クラスターを選択します。
[my-cluster] (マイクラスター) ページで、次の操作を行います。
1. [Compute] (コンピューティング) タブを開きます。
2. [Fargate Profiles] (Fargate プロファイル) で、[Add Fargate Profile] (Fargate プロファイルを追加) を選択します。
[Configure Fargate Profile] (Fargate プロファイルを設定) ページで、次の操作を行います。
1. [名前] に、Fargate プロファイルの一意の名前 (my-profile など) を入力します。
2. [Pod execution role] (ポッド実行ロール) で、以前のステップで作成した [AmazonEKSFargatePodExecutionRole] を選択します。
3. [Subnets] (サブネット) ドロップダウンを展開し、名前に Public を含むすべてのサブネットの選択を解除します。Fargate で実行される pods では、プライベートサブネットのみがサポートされます。
4. [Next] を選択します。
[Configure pod selection] (ポッドの選択を設定) ページで、次の操作を行います。
1. Namespace に default. と入力します。
2. [Next] を選択します。
[Review and create (確認と作成)] ページで、Fargate プロファイルの情報を確認し、[Create (作成)] を選択します。
数分後、[Fargate プロファイル設定] セクションにある [ステータス] が [作成中] から [アクティブ] に変わります。ステータスが [Active (アクティブ)] になるまで、次のステップに進まないでください。
すべての pods を Fargate にデプロイする場合 (Amazon EC2 ノードにはデプロイしない場合)、次の手順を実行して別の Fargate プロファイルを作成し、Fargate でデフォルトのネームリゾルバー (CoreDNS) を実行します。

注記
これを行わな場合、現時点では利用可能なノードはありません。
1. [Fargate Profile] (Fargate プロファイル) ページで [my-profile] を選択します。
2. [Fargate プロファイル] で、[Fargate プロファイルを追加] を選択します。
3. [Name] (名前) に「CoreDNS」と入力します。
4. [Pod execution role] (ポッド実行ロール) で、以前のステップで作成した [AmazonEKSFargatePodExecutionRole] を選択します。
5. [Subnets] (サブネット) ドロップダウンを展開し、名前に Public を含むすべてのサブネットの選択を解除します。Fargate で実行される pods では、プライベートサブネットのみがサポートされます。
6. [Next] を選択します。
7. Namespace に kube-system. と入力します。
8. [Match labels] (ラベルを一致させる) を選択し、次に [Add label] (ラベルを追加) をクリックします。
9. [Key] (キー) に k8s-app を入力し、値として kube-dns を入力します。これは、デフォルト名のリゾルバ (CoreDNS) を Fargate にデプロイするために必要です。
10. [Next] を選択します。
11. [Review and create (確認と作成)] ページで、Fargate プロファイルの情報を確認し、[Create (作成)] を選択します。
12. 次のコマンドを実行して、CoreDNS pods からデフォルトの eks.amazonaws.com/compute-type : ec2 アノテーションを削除します。
```
kubectl patch deployment coredns \
    -n kube-system \
    --type json \
    -p='[{"op": "remove", "path": "/spec/template/metadata/annotations/eks.amazonaws.com~1compute-type"}]'
```
注記
追加した Fargate プロファイルのラベルに基づいて、システムにより 2 つのノードが作成されデプロイされます。これらはいずれも Fargate ノードに適用できないため、[Node Groups] (ノードグループ) のリストには表示されません。新しいノードは [Overview] (概要) タブ内のリストに表示されます。
表示を増やす表示を減らす

Managed nodes – Linux

前の手順で作成したサブネットとノード IAM ロールを指定しながら、マネージド型ノードグループを作成します。

Amazon EC2 Linux マネージド型ノードグループを作成するには

ノードの IAM ロールを作成して、必要な Amazon EKS IAM 管理ポリシーをアタッチします。Amazon EKS ノード kubelet デーモンが、ユーザーに代わって AWS API への呼び出しを実行します。ノードは、IAM インスタンスプロファイルおよび関連ポリシーを通じて、これらの API コールのアクセス許可を受け取ります。

次の内容を node-role-trust-policy.json という名前のファイルにコピーします。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

ノードの IAM ロールを作成します。


aws iam create-role \
  --role-name myAmazonEKSNodeRole \
  --assume-role-policy-document file://"node-role-trust-policy.json"

ロールに、必要なマネージド IAM ポリシーをアタッチします。


aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy \
  --role-name myAmazonEKSNodeRole
aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly \
  --role-name myAmazonEKSNodeRole
aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy \
  --role-name myAmazonEKSNodeRole

Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。
ステップ 1: Amazon EKS クラスターを作成するで作成したクラスターの名前 (my-cluster など) を選択します。
[my-cluster] (マイクラスター) ページで、次の操作を行います。
1. [Compute] (コンピューティング) タブを開きます。
2. [Add Node Group] (ノードグループを追加) をクリックします。
[Configure Node Group] (ノードグループの設定) ページで以下を実行します。
1. [Name] (名前) に、マネージド型ノードグループの一意の名前 (my-nodegroup など) を入力します。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字はアルファベット文字である必要があります。また、100 文字より長くすることはできません。
2. [Node IAM role name] (ノード IAM ロール名) で、前のステップで作成した myAmazonEKSNodeRole ロールを選択します。各ノードグループには独自の一意の IAM ロールを使用することをお勧めします。
3. [Next] を選択します。
[Set compute and scaling configuration] (コンピューティングとスケーリングの設定) ページではデフォルトの値を受け入れ、[Next] (次へ) をクリックします。
[Specify networking] (ネットワーキングの指定) ページでは、デフォルトの値を受け入れ、[Next] (次へ) をクリックします。
[確認と作成] ページで、マネージド型ノードグループの設定を確認し、[作成] を選択します。
数分後、[Node Group configuration (ノードグループの設定)] セクションにある [Status (ステータス)] の表示が、[Creating (作成中)] から [Active (アクティブ)] に変わります。ステータスが [Active (アクティブ)] になるまで、次のステップに進まないでください。

ステップ 4: リソースを表示する

ノードと Kubernetes のワークロードを表示することができます。

ノードとワークロードを表示するには

左のナビゲーションペインで [Clusters] (クラスター) を選択します。[Clusters] (クラスター) のリストで my-cluster など、作成したクラスターの名前を選択します。
[my-cluster] ページで、次の項目を選択します。
1. [Compute] (コンピューティング) タブ – クラスターにデプロイした [Nodes] (ノード) が一覧表示されます。ノードの名前を選択すると、そのノードに関するより詳細な情報が表示されます。
2. [Resources] (リソース) タブ - Amazon EKS クラスターにデフォルトでデプロイされたすべての Kubernetes リソースが表示されます。コンソールでリソースタイプを選択すると、その詳細を確認できます。

ステップ 5: リソースを削除する

このチュートリアルのために作成したクラスターとノードの使用が終了したら、作成したリソースを削除する必要があります。リソースを削除する前に、他の目的でこのクラスターを使用する場合は、次のステップを参照してください。

このガイドで作成したリソースを削除するには

ここで作成した、いずれかのノードグループもしくは Fargate プロファイルを削除します。
1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。
2. 左のナビゲーションペインで [Clusters] (クラスター) を選択します。クラスターのリストから「my-cluster」を選択します。
3. [Compute] (コンピューティング) タブを開きます。
4. ノードグループを作成している場合は、ノードグループ my-nodegroup をした上で、[Delete] (削除) を選択します。「my-nodegroup」と入力し、[Delete (削除)] を選択します。
5. 作成した各 Fargate プロファイルを選択した後に、[Delete] (削除) をクリックします。プロファイルの名前を入力した後に、[Delete] (削除) をクリックします。
  
  注記
  続いて 2 つ目の Fargate プロファイルを削除する場合、最初のプロファイルの削除が完了するまで待機します。
6. ノードグループまたは Fargate プロファイルが削除されるまで続行しないでください。
クラスターを削除します。
1. 左のナビゲーションペインで [Clusters] (クラスター) を選択します。クラスターのリストから「my-cluster」を選択します。
2. [クラスターの削除] を選択します。
3. my-cluster と入力し、[Delete] (削除) を選択します。クラスターが削除されるまで続行しないでください。
作成した VPC AWS CloudFormation スタックを削除します。
1. AWS CloudFormation コンソール (https://console.aws.amazon.com/cloudformation) を開きます。
2. [my-eks-vpc-stack] スタックを選択してから、[Delete] (削除) を選択します。
3. [Delete my-eks-vpc-stack] (my-eks-vpc-stack の削除) 確認ダイアログボックスで、[Delete stack] (スタックを削除) をクリックします。
作成した IAM ロールを削除します。
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。
3. リスト ([myAmazonEKSClusterRole]、および、[AmazonEKSFargatePodExecutionRole] または [myAmazonEKSNodeRole]) から、作成した各ロールを選択します。[Delete] (削除) を選択し、要求された確認テキストを入力した後で、[Delete] (削除) をクリックします。

次のステップ

以下のトピックは、クラスターの機能を拡張するのに役立ちます。

クラスターを作成した IAM エンティティ (ユーザーまたはロール) は、kubectl または AWS Management Console を使用して Kubernetes API サーバーを呼び出すことができる唯一の IAM エンティティです。他の IAM ユーザーまたはロールがクラスターにアクセスできるようにする場合は、それらを追加する必要があります。詳細については、「クラスターへの IAM ユーザーおよびロールアクセスを有効にする」および「必要なアクセス許可」を参照してください。
サンプルアプリケーションをクラスターにデプロイします。
本番用にクラスターをデプロイする前に、クラスターとノードのすべての設定を理解しておくことをお勧めします。Amazon EC2 ノードへの SSH アクセスの有効化など一部の設定は、クラスターの作成時に行う必要があります。
クラスターのセキュリティを強化するには、サービスアカウントの IAM ロールを使用する Amazon VPC コンテナネットワークインターフェイスプラグインの設定を行ってください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

最初のクラスターを作成する - eksctl

クラスター