Requirements Considerations コンテナイメージのローカルコピーの作成プライベートクラスターの VPC エンドポイント

プライベートクラスター

このトピックでは、アウトバウンドインターネットアクセスを持たない、プライベートな Amazon EKS クラスターをデプロイする方法について説明します。Amazon EKS でのネットワークに詳しくない場合は、「De-mystifying cluster networking for Amazon EKS worker nodes (Amazon EKS ワーカーノードのクラスターネットワークを解明する)」を参照してください。

Requirements

アウトバウンドインターネットアクセスのないプライベートクラスターで Amazon EKS を実行するには、以下の要件を満たす必要があります。

プルするコンテナイメージは、Amazon Elastic Container Registry (Amazon ECR) か、 VPC 内のレジストリに配置 (あるいはコピー) する必要があります。詳細については、「コンテナイメージのローカルコピーの作成」を参照してください。
ノードをクラスターエンドポイントに登録するには、エンドポイントのプライベートアクセスが必要です。エンドポイントのパブリックアクセスはオプションです。詳細については、「Amazon EKS クラスターエンドポイントでのアクセスコントロール」を参照してください。
場合によっては、「プライベートクラスターの VPC エンドポイント」に一覧表示されている VPC エンドポイントを含める必要があります。
セルフマネージド型ワーカーノードを起動する際には、以下のテキストをブートストラップ引数に含める必要があります。このテキストは Amazon EKS のイントロスペクションをバイパスするため、VPC 内からの Amazon EKS API へのアクセスは不要です。<cluster-endpoint> および <cluster-certificate-authority> を、 Amazon EKS クラスターの値に置き換えます。
```
--apiserver-endpoint <cluster-endpoint> --b64-cluster-ca <cluster-certificate-authority>
```
aws-auth ConfigMap は VPC 内から作成する必要があります。aws-auth ConfigMap の作成方法については、「クラスターのユーザーまたは IAM ロールの管理」を参照してください。

Considerations

ここでは、アウトバウンドインターネットアクセスのないプライベートクラスターで、Amazon EKS を実行する場合に考慮すべき点をいくつか示します。

AWS X-Ray はプライベートクラスターでサポートされていますが、AWS X-Ray VPC エンドポイントを使用する必要があります。詳細については、「」を参照してくださいプライベートクラスターの VPC エンドポイント
Amazon CloudWatch Logs はプライベートクラスターでサポートされますが、Amazon CloudWatch Logs の VPC エンドポイントを使用する必要があります。詳細については、「プライベートクラスターの VPC エンドポイント」を参照してください。
セルフマネージド型およびマネージド型ノードがサポートされています。ノードのインスタンスには VPC エンドポイントへのアクセスが必要です。マネージド型ノードグループを作成する場合には、VPC エンドポイントのセキュリティグループでサブネットの CIDR を許可するか、ノードのセキュリティグループを作成し VPC エンドポイントのセキュリティグループに追加する必要があります。
サービスアカウントの IAM ロールがサポートされています。STS VPC エンドポイントを含める必要があります。詳細については、「プライベートクラスターの VPC エンドポイント」を参照してください。
Amazon EBS CSI ドライバーがサポートされています。デプロイする前に、kustomization.yaml ファイルを変更して、Amazon EKS クラスターと同じリージョンを使用するように、コンテナイメージを設定する必要があります。
Amazon EFS CSI ドライバーがサポートされています。デプロイする前に、kustomization.yaml ファイルを変更して、Amazon EKS クラスターと同じリージョンを使用するように、コンテナイメージを設定する必要があります。
-Amazon FSx for Lustre CSI ドライバーはサポートされていません。
AWS Fargate はプライベートクラスターでサポートされています。AWS Load Balancer Controller を使用して、AWS Application Load Balancer (ALBs) および Network Load Balancer をデプロイできます。このコントローラーでは、Fargate で必要な IP ターゲットを持つネットワークロードバランサをサポートします。詳細については、「Amazon EKS でのアプリケーション負荷分散」および「ネットワークロードバランサーを作成する」を参照してください。
AWS Load Balancer Controller がサポートされています。ただし、インストール中に、コマンドラインフラグを使用して、enable-shield、 enable-waf、 enable-wafv2 を設定し、falseに設定する必要があります。加えて、証明書の検出は、Ingress オブジェクトのホスト名に置き換えることはできません。これは、コントローラーが VPC エンドポイントを持たない ACM に到達する必要があるためです。
App Mesh Envoy VPC エンドポイントを使用する場合、App Mesh がプライベートクラスターでサポートされます。詳細については、「プライベートクラスターの VPC エンドポイント」を参照してください。
- Kubernetes 用 App Mesh サイドカーインジェクターがサポートされています。詳細については、GitHub の「App Mesh sidecar injector (App Mesh サイドカーインジェクター)」を参照してください。
- Kubernetes 用 App Mesh コントローラーはサポートされていません。詳細については、GitHub の「App Mesh controller (App Mesh コントローラー)「を参照してください。
- Cluster Autoscaler がサポートされています。クラスター自動スケーラーポッドをデプロイする場合、コマンドラインに --aws-use-static-instance-list=true が含まれていることを確認してください。詳細については、GitHub で「静的インスタンス・リストを使用」を参照してください。ワーカーノード VPC には、STS VPC エンドポイントと自動スケーリング VPC エンドポイントを含める必要があります。詳細については、「」を参照してくださいプライベートクラスターの VPC エンドポイント

コンテナイメージのローカルコピーの作成

プライベートクラスターにはアウトバウンドインターネットアクセスがないため、コンテナイメージを Docker Hub などの外部ソースからプルすることはできません。代わりに、コンテナイメージをローカルで Amazon ECR にコピーするか、VPC 内のアクセス可能な代替レジストリにコピーする必要があります。コンテナイメージは、プライベート VPC の外部から Amazon ECR にコピーできます。プライベートクラスターは、Amazon ECR の VPC エンドポイントを使用して Amazon ECR リポジトリにアクセスします。ローカルコピーの作成に使用するワークステーションに Docker と AWS CLI がインストールされている必要があります。

コンテナイメージのローカルコピーを作成するには

Amazon ECR リポジトリを作成します。詳細については、「リポジトリの作成」を参照してください。
docker pull を使用して外部レジストリからコンテナイメージをプルします。
docker tag を使用しながら、Amazon ECR レジストリ、リポジトリ、およびオプションのイメージタグ名を組み合わせたタグをイメージに付与します。
レジストリに対して認証します。詳細については、「レジストリの認証」を参照してください。

docker push を使用して、Amazon ECR にイメージをプッシュします。

注記

新しいイメージの場所を使用するようにリソースの設定を更新してください。

次の例では、タグ v1.3.1-linux-amd64 を使用する amazon/aws-node-termination-handler イメージを Docker Hub からプルし、そのローカルコピーを Amazon ECR に作成します。


aws ecr create-repository --repository-name amazon/aws-node-termination-handler
docker pull amazon/aws-node-termination-handler:v1.3.1-linux-amd64
docker tag amazon/aws-node-termination-handler <111122223333>.dkr.ecr.<region-code>.amazonaws.com/amazon/aws-node-termination-handler:v1.3.1-linux-amd64
aws ecr get-login-password --region <region-code> | docker login --username AWS --password-stdin <111122223333>.dkr.ecr.<region-code>.amazonaws.com
docker push <111122223333>.dkr.ecr.<region-code>.amazonaws.com/amazon/aws-node-termination-handler:v1.3.1-linux-amd64

プライベートクラスターの VPC エンドポイント

以下の VPC エンドポイントが必要になる場合があります。

com.amazonaws.<region>.ec2
com.amazonaws.<region>.ecr.api
com.amazonaws.<region>.ecr.dkr
com.amazonaws.<region>.s3 – コンテナイメージをプルする場合
com.amazonaws.<region>.logs – CloudWatch Logs の場合
com.amazonaws.<region>.sts— サービスアカウントにクラスターオートスケーラーまたは IAM ロールを使用する場合
com.amazonaws.<region>.elasticloadbalancing – Application Load Balancer を使用している場合
com.amazonaws.<region>.autoscaling – Cluster Autoscaler を使用している場合
com.amazonaws.<region>.appmesh-envoy-management – App Mesh を使用している場合
com.amazonaws.<region>.xray – AWS X-Ray を使用している場合

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

API サーバーのフラグの表示

ノード