セルフマネージド Amazon Linux ノードを作成する
このトピックでは、Amazon EKS クラスターに登録する Linux ノードの Auto Scaling グループを起動する方法について説明します。ノードがクラスターに参加したら、それらのノードに Kubernetes アプリケーションをデプロイ可能になります。eksctl
または AWS Management Consoleを使用して、セルフマネージド型の Amazon Linux ノードを起動することもできます。AWS Outposts でノードを起動する必要がある場合は、「AWS Outposts で Amazon Linux ノードを作成する」を参照してください。
-
既存の Amazon EKS クラスター。デプロイするには、「Amazon EKS クラスターを作成します。」を参照してください。AWS Outposts、AWS Wavelength、または AWS Local Zones が有効になっている AWS リージョンにサブネットがある場合は、クラスターの作成時にそれらのサブネットが渡されるべきではありません。
-
ノードが使用する既存の IAM ロール。作成する場合は「Amazon EKS ノードの IAM ロール」を参照してください。このロールに VPC CNI のポリシーがどちらも含まれていない場合、VPC CNI ポッドには以下の別のロールが必要です。
-
(オプションですが推奨) 必要な IAM ポリシーがアタッチされた独自の IAM ロールで設定された Amazon VPC CNI plugin for Kubernetes アドオン。詳細については、「IRSA を使用するように Amazon VPC CNI プラグインを設定する」を参照してください。
-
「最適な Amazon EC2 ノードインスタンスタイプを選択する」に記載されている考慮事項に精通していること。選択したインスタンスタイプによっては、クラスターと VPC に関する追加の前提条件がある場合もあります。
セルフマネージド Linux ノードは、次のいずれかを使用して起動できます。
eksctl
eksctl
を使用してセルフマネージド型の Linux ノードを起動する`
注記
現時点では、eksctl
は Amazon Linux 2023 をサポートしていません。
-
デバイスまたは AWS CloudShell にインストールされている
eksctl
コマンドラインツールのバージョン0.194.0
以降をインストールします。eksctl
をインストールまたはアップグレードするには、eksctl
ドキュメントの「インストール」を参照してください。 -
(オプション) [AmazonEKS_CNI_Policy] マネージド IAM ポリシーが Amazon EKS ノードの IAM ロールにアタッチされている場合は、代わりに Kubernetes
aws-node
サービスアカウントに関連付けた IAM ロールに割り当てることをお勧めします。詳細については、「IRSA を使用するように Amazon VPC CNI プラグインを設定する」を参照してください。 -
次のコマンドは、既存のクラスターにノードグループを作成します。
al-nodes
を、ノードグループの名前に置き換えます。ノードグループ名は 63 文字以下である必要があります。先頭は文字または数字でなければなりませんが、残りの文字にはハイフンおよびアンダースコアを含めることもできます。my-cluster
の部分は、自分のクラスター名に置き換えます。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字は英数字である必要があります。また、100 文字より長くすることはできません。名前は、クラスターを作成する AWS リージョンおよび AWS アカウント内で一意である必要があります。残りのサンプル値
は独自の値に置き換えます。デフォルトでは、ノードはコントロールプレーンと同じ Kubernetes バージョンで作成されます。--node-type
の値を選択する前に、「最適な Amazon EC2 ノードインスタンスタイプを選択する」を確認してください。my-key
を Amazon EC2 キーペアまたはパブリックキーの名前に置き換えます。このキーは、起動後のノードに SSH 接続するために使用されます。Amazon EC2 キーペアをまだ持っていない場合は、AWS Management Console で作成できます。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 キーペア」を参照してください。次のコマンドを使用して、ノードグループを作成します。
重要
ノードグループを AWS Outposts、Wavelength、または Local Zones サブネットにデプロイする場合、追加の考慮事項があります。
-
クラスターを作成したときに、サブネットが渡されていない必要があります。
-
ノードグループは、サブネットと
volumeType
を指定する設定ファイルを使用して作成する必要があります。詳細については、「: gp2 eksctl
ドキュメント」の「設定ファイルからノードグループを作成する」と「設定ファイルのスキーマ 」を参照してください。
eksctl create nodegroup \ --cluster my-cluster \ --name al-nodes \ --node-type t3.medium \ --nodes 3 \ --nodes-min 1 \ --nodes-max 4 \ --ssh-access \ --managed=false \ --ssh-public-key my-key
次のノードグループをデプロイするには
-
デフォルト設定よりもはるかに多くの IP アドレスを Pods に割り当てることができるノードグループについては、「プレフィックスを使用して Amazon EKS ノードに割り当てる IP アドレスを増やす」を参照してください。
-
インスタンスのブロックとは異なる CIDR ブロックから
IPv4
アドレスを Pods に割り当てることができるノードグループについては、「カスタムネットワーキングを使用して代替サブネットにpodsをデプロイする」を参照してください。 -
Pods とサービスに
IPv6
アドレスを割り当てることができるノードグループについては、「クラスター、pods、サービスに対する IPv6 アドレスの説明」を参照してください。 -
containerd
ランタイムを使用するノードグループについては、config
ファイルを使用してノードグループをデプロイする必要があります。詳細については、「Amazon Linux 2 の Docker から containerd への移行をテストする」を参照してください。 -
アウトバウンドインターネットアクセスがない場合は、「インターネットアクセスが制限されたプライベートクラスターをデプロイする」を参照してください。
すべての使用可能なオプションとデフォルト値の一覧を表示するには、次のコマンドを入力します。
eksctl create nodegroup --help
ノードがクラスターに参加できない場合は、トラブルシューティングの章にある「ノードをクラスターに結合できません」を参照してください。
出力例は次のとおりです。ノードの作成中に、複数の行が出力されます。出力の最後の行は、次のサンプル行が表示されます。
[✔] created 1 nodegroup(s) in cluster "my-cluster"
-
-
(オプション) サンプルアプリケーション をデプロイして、クラスターと Linux ノードをテストします。
-
次の条件が true の場合、IMDS への Pod アクセスをブロックすることをお勧めします。
-
すべての Kubernetes サービスアカウントに IAM ロールを割り当てて、Pods が必要最小限のアクセス許可のみを持つように計画しています。
-
クラスター内の Pods が、現在の AWS リージョンの取得といったその他の理由で Amazon EC2 インスタンスメタデータサービス (IMDS) へのアクセスを必要としていません。
詳細については、「ワーカーノードに割り当てられたインスタンスプロファイルへのアクセスを制限する
」を参照してください。 -
AWS Management Console
ステップ 1: AWS Management Console を使用してセルフマネージド型の Linux ノードを起動する`
-
AWS CloudFormation テンプレートの最新バージョンをダウンロードします。
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2022-12-23/amazon-eks-nodegroup.yaml
-
クラスターステータスが
ACTIVE
と表示されるまで待ちます。クラスターがアクティブになる前にノードを起動した場合、ノードはクラスターへの登録に失敗し、再起動する必要があります。 -
AWS CloudFormation コンソール
を開きます。 -
[スタックの作成] を選択し、[新しいリソースを使用 (標準)] を選択します。
-
[テンプレートの指定] で、[テンプレートファイルのアップロード] を選択し、[ファイルを選択] を選択します。
-
ダウンロードした
amazon-eks-nodegroup.yaml
ファイルを選択します。 -
[次へ] を選択します。
-
[スタックの詳細の指定] ページで、必要に応じて次のパラメータを入力し、[次へ] を選択します。
-
スタック名: AWS CloudFormation スタックのスタック名を選択します。例えば、
my-cluster-nodes
という名前にすることができます。この名前には、英数字 (大文字と小文字が区別されます) とハイフンのみを使用できます。先頭の文字は英数字である必要があります。また、100 文字より長くすることはできません。名前は、クラスターを作成する AWS リージョンおよび AWS アカウント内で一意である必要があります。 -
[ClusterName]: Amazon EKS クラスターの作成時に使用した名前を入力します。この名前は、クラスター名と同じにする必要があります。同じでない場合、ノードはクラスターに参加できません。
-
[ClusterControlPlaneSecurityGroup]: VPC の作成時に生成した AWS CloudFormation 出力の [SecurityGroups] 値を選択します。
次のステップでは、該当するグループを取得する 1 つのオペレーションを説明します。
-
Amazon EKS コンソール
を開きます。 -
クラスターの名前を選択します。
-
[ネットワーキング] タブを選択します。
-
[ClusterControlPlaneSecurityGroup] ドロップダウンリストから選択する場合は、[追加のセキュリティグループ] の値をリファレンスとして使用します。
-
-
[NodeGroupName]: ノードグループの名前を入力します。この名前は、ノードに対して作成される自動スケーリングノードグループを識別するために後で使用できます。ノードグループ名は 63 文字以下である必要があります。先頭は文字または数字でなければなりませんが、残りの文字にはハイフンおよびアンダースコアを含めることもできます。
-
[NodeAutoScalingGroupMinSize]: ノードの Auto Scaling グループがスケールインできる最小ノード数を入力します。
-
NodeAutoScalingGroupDesiredCapacity: スタック作成時にスケーリングする必要のあるノード数を入力します。
-
[NodeAutoScalingGroupMaxSize]: ノードの Auto Scaling グループがスケールアウトできる最大ノード数を入力します。
-
[NodeInstanceType]: ノードのインスタンスタイプを選択します。詳細については、「最適な Amazon EC2 ノードインスタンスタイプを選択する」を参照してください。
-
[NodeImageIdSSMParam]: 最新の Amazon EKS 最適化 AMI の Amazon EC2 Systems Manager のパラメータが、可変 Kubernetes バージョン用に事前設定されています。Amazon EKS でサポートされている別の Kubernetes マイナーバージョンを使用するには、
1.XX
を別のサポートされているバージョンに置き換えます。クラスターと同じ Kubernetes バージョンを指定することをお勧めします。amazon-linux-2
を別の AMI タイプに置き換えることもできます。詳細については、「推奨 Amazon Linux AMI ID を取得する」を参照してください。注記
Amazon EKS ノード AMI は Amazon Linux をベースとしています。Amazon Linux セキュリティセンター
で Amazon Linux 2 のセキュリティもしくはプライバシーに関するイベントを追跡したり、関連する RSS フィード をサブスクライブできます。セキュリティおよびプライバシーイベントには、問題の概要、影響を受けるパッケージ、および問題を修正するためにインスタンスを更新する方法などがあります。 -
NodeImageId: (オプション) (Amazon EKS 最適化 AMI の代わりに) 独自のカスタム AMI を使用している場合は、AWS リージョンのノード AMI ID を入力します。ここで値を指定すると、[NodeImageIdSSMParam] フィールドの値はすべて上書きされます。
-
[NodeVolumeSize]: ノードのルートボリュームのサイズを GiB 単位で指定します。
-
[NodeVolumeType]: ノードのルートボリュームタイプを指定します。
-
[KeyName]: 起動後に、SSH を使用してノードに接続するときに使用できる Amazon EC2 SSH キーペアの名前を入力します。Amazon EC2 キーペアをまだ持っていない場合は、AWS Management Console で作成できます。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 キーペア」を参照してください。
注記
ここでキーペアを指定しないと、AWS CloudFormation スタックの作成は失敗します。
-
[BootstrapArguments]:
kubelet
の追加引数など、ノードブートストラップスクリプトに渡すオプションの引数を指定します。詳細については、「GitHub」の「ブートストラップスクリプトの使用状況」を参照してください。 次のノードグループをデプロイするには
-
デフォルト設定よりもはるかに多くの IP アドレスを Pods に割り当てることができるノードグループについては、「プレフィックスを使用して Amazon EKS ノードに割り当てる IP アドレスを増やす」を参照してください。
-
インスタンスのブロックとは異なる CIDR ブロックから
IPv4
アドレスを Pods に割り当てることができるノードグループについては、「カスタムネットワーキングを使用して代替サブネットにpodsをデプロイする」を参照してください。 -
Pods とサービスに
IPv6
アドレスを割り当てることができるノードグループについては、「クラスター、pods、サービスに対する IPv6 アドレスの説明」を参照してください。 -
containerd
ランタイムを使用するノードグループについては、config
ファイルを使用してノードグループをデプロイする必要があります。詳細については、「Amazon Linux 2 の Docker から containerd への移行をテストする」を参照してください。 -
アウトバウンドインターネットアクセスがない場合は、「インターネットアクセスが制限されたプライベートクラスターをデプロイする」を参照してください。
-
-
[DisableIMDSv1]: 各ノードは、デフォルトでインスタンスメタデータサービスバージョン 1 (IMDSv1) および IMDSv2 をサポートします。IMDSv1 は無効にできます。以後、ノードグループのノードおよび Pods が MDSv1 を使用しないようにするには、DisableIMDsv1 を true に設定します。IDMS の詳細については、「インスタンスメタデータサービスの設定」を参照してください。ノードでのそれへのアクセス制限について詳しくは、ワーカーノードに割り当てられたインスタンスプロファイルへのアクセスを制限する
を参照してください。 -
[VpcId]: 作成した VPC の ID を入力します。
-
[Subnets]: VPC 用に作成したサブネットを選択します。「Amazon EKS クラスターの Amazon VPC を作成する」で説明されている手順で VPC を作成した場合は、起動するノードの VPC 内のプライベートサブネットのみを指定します。クラスターの [ネットワーキング] タブから、各サブネットリンクを開き、プライベートのサブネットを確認できます。
重要
-
いずれかのサブネットがパブリックサブネットである場合は、パブリック IP アドレスの自動割り当て設定を有効にする必要があります。この設定がパブリックサブネットに対して有効になっていない場合、そのパブリックサブネットにデプロイするノードにはパブリック IP アドレスが割り当てられず、クラスターやその他の AWS のサービスと通信できなくなります。2020 年 3 月 26 日以前に、Amazon EKS AWS CloudFormation VPC テンプレートを使用して、または
eksctl
を使用してサブネットがデプロイされた場合、パブリックサブネットではパブリック IP アドレスの自動割り当てが無効になります。サブネットのパブリック IP アドレス割り当てを有効にする方法については、「サブネットのパブリック IPv4 アドレス属性の変更」を参照してください。ノードがプライベートサブネットにデプロイされている場合、NAT ゲートウェイを介してクラスターや他の AWS のサービスと通信できます。 -
サブネットにインターネットアクセスがない場合は、「インターネットアクセスが制限されたプライベートクラスターをデプロイする」の考慮事項と追加の手順を確認してください。
-
AWS Outposts、Wavelength、または Local Zones サブネット を選択する場合は、クラスターの作成時にサブネットを渡さないようにします。
-
-
-
[スタックオプションの設定] ページで、希望する設定を選択し、[次へ] を選択します。
-
[AWS CloudFormation が IAM リソースを作成する可能性を認識しています] の左にあるチェックボックスを選択して、[スタックの作成] を選択します。
-
スタックの作成が完了したら、コンソールで選択し、[出力] を選択します。
-
作成されたノードグループの [NodeInstanceRole] を記録します。これは、Amazon EKS ノードを設定する際、必要になります。
ステップ 2: ノードを有効にしてクラスターに参加する
注記
アウトバウンドのインターネットアクセスのないプライベート VPC でノードを起動する場合は、ノードが VPC 内からクラスターに参加できるようにしてください。
-
aws-auth
ConfigMap
がすでにあるかどうかを確認します。kubectl describe configmap -n kube-system aws-auth
-
aws-auth
ConfigMap
が表示されている場合は、必要に応じて更新してください。-
編集する
ConfigMap
を開きます。kubectl edit -n kube-system configmap/aws-auth
-
必要に応じて新しい
mapRoles
エントリを追加します。rolearn
値を、前の手順で記録した [NodeInstanceRole] 値に設定します。[...] data: mapRoles: | - rolearn: <ARN of instance role (not instance profile)> username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodes [...]
-
ファイルを保存し、テキストエディタを終了します。
-
-
「
Error from server (NotFound): configmaps "aws-auth" not found
」というエラーが表示されたら、ストックConfigMap
を適用してください。-
設定マップをダウンロードします。
curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml
-
aws-auth-cm.yaml
ファイルで、rolearn
値を前の手順で記録した [NodeInstanceRole] 値に設定します。これを行うには、テキストエディタを使用するか、my-node-instance-role
を置き換えて次のコマンドを実行します。sed -i.bak -e 's|<ARN of instance role (not instance profile)>|my-node-instance-role|' aws-auth-cm.yaml
-
設定を適用します。このコマンドが完了するまで数分かかることがあります。
kubectl apply -f aws-auth-cm.yaml
-
-
ノードのステータスを監視し、
Ready
ステータスになるまで待機します。kubectl get nodes --watch
Ctrl
+C
を入力して、シェルプロンプトに戻ります。注記
認可またはリソースタイプのエラーが発生した場合は、トラブルシューティングトピックの「許可されていないか、アクセスが拒否されました (kubectl)」を参照してください。
ノードがクラスターに参加できない場合は、トラブルシューティングの章にある「ノードをクラスターに結合できません」を参照してください。
-
(GPU ノードのみ) GPU インスタンスタイプと Amazon EKS 最適化アクセラレーション AMI を選択した場合は、クラスター上の DaemonSet として Kubernetes 用の NVIDIA デバイスプラグイン
を適用する必要があります。次のコマンドを実行する前に、 vX.X.X
を必要となる NVIDIA/k8s-device-pluginバージョンに置き換えます。 kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/vX.X.X/deployments/static/nvidia-device-plugin.yml
ステップ 3: その他のアクション
-
(オプション) サンプルアプリケーションをデプロイして、クラスターと Linux ノードをテストします。
-
(オプション) AmazonEKS_CNI_Policy マネージド IAM ポリシー (
IPv4
クラスターがある場合) またはAmazonEKS_CNI_IPv6_Policy
(IPv6
クラスターがある場合、ユーザー自身が作成したもの) が Amazon EKS ノードの IAM ロールにアタッチされている場合、代わりに Kubernetesaws-node
サービスアカウントに関連付けている IAM ロールに割り当てることをお勧めします。詳細については、「IRSA を使用するように Amazon VPC CNI プラグインを設定する」を参照してください。 -
次の条件が true の場合、IMDS への Pod アクセスをブロックすることをお勧めします。
-
すべての Kubernetes サービスアカウントに IAM ロールを割り当てて、Pods が必要最小限のアクセス許可のみを持つように計画しています。
-
クラスター内の Pods が、現在の AWS リージョンの取得といったその他の理由で Amazon EC2 インスタンスメタデータサービス (IMDS) へのアクセスを必要としていません。
詳細については、「ワーカーノードに割り当てられたインスタンスプロファイルへのアクセスを制限する
」を参照してください。 -