Container Service for Kubernetes (ACK) クラスターを作成すると、Kubernetes API サーバー用に内部向けの Classic Load Balancer (CLB) インスタンスが自動的に作成されます。インターネット経由で API サーバーにアクセスするには、この CLB インスタンスに Elastic IP アドレス (EIP) を関連付けます。
注意事項
クラスター作成時の EIP の関連付け
クラスターを作成する際に、[EIP を使用して API サーバーを公開] を選択します。
詳細については、「ACK マネージドクラスターの作成」、「ACK Serverless クラスターの作成」、「ACK Edge クラスターの作成」をご参照ください。
既存クラスターへの EIP の関連付け
既存クラスターへの EIP の関連付けは、ACK マネージドクラスター、ACK Serverless クラスター、および ACK Edge クラスターでサポートされています。
ACK 専用クラスターの API サーバーに EIP を関連付けるには、まずACK 専用クラスターから ACK マネージド Pro クラスターへのホットマイグレーションを実行する必要があります。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、対象のクラスターを見つけてその名前をクリックします。左側のペインで、[クラスター情報] をクリックします。
[クラスター情報] ページで、[基本情報] タブをクリックします。[ネットワーク] セクションで、[API サーバーのパブリックエンドポイント] の横にある [EIP の関連付け] をクリックします。
クラスターと同じリージョンにある既存の EIP を選択するか、EIP を作成し、[OK] をクリックします。
EIP が関連付けられると、[API サーバーのパブリックエンドポイント] フィールドに表示されます。
EIP の関連付け解除または変更
EIP の関連付け解除または変更は、ACK マネージドクラスターと ACK Serverless クラスターでのみサポートされています。
EIP の関連付け解除: EIP の関連付けを解除すると、API サーバーは内部ネットワーク経由でのみアクセス可能になります。クラスター内のアプリケーションは、引き続き API サーバーにアクセスできます。
EIP の変更: EIP を変更すると、API サーバーのパブリックエンドポイントもそれに応じて変更されます。
EIP の関連付けを解除または変更するには、次の手順を実行します。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、対象のクラスターを見つけてその名前をクリックします。左側のペインで、[クラスター情報] をクリックします。
[クラスター情報] ページで、[基本情報] タブをクリックします。[ネットワーク] セクションで、[API サーバーのパブリックエンドポイント] の横にある [EIP の関連付け] または [バインド解除] をクリックします。
API サーバーのネットワーク ACL の設定
API サーバーをインターネットに公開した後は、API サーバーのネットワークアクセスコントロールリスト (ACL) を設定してアクセスを制限します。ブラックリストを使用して特定の IP アドレスをブロックするか、ホワイトリストを使用して特定の IP アドレスのみを許可します。
参考文献
クラスターアプリケーションがイメージのプルや依存ライブラリの更新など、外部のインターネットリソースにアクセスできるようにするには、クラスターが存在する VPC でNAT ゲートウェイの SNAT ルールを設定します。
クラスターのセキュリティグループに拒否ルールが含まれている場合は、クラスターが使用するプロトコルとポートが拒否ルールで指定されていないことを確認してください。詳細については、「クラスターのセキュリティグループの設定」をご参照ください。