すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:Auto モードで ACK マネージドクラスターを作成する

最終更新日:Nov 09, 2025

ACK マネージドクラスターを作成するときに、Auto モードを有効にできます。このモードでは、いくつかの簡単な計画と構成を完了した後、ワンクリックでベストプラクティスの Kubernetes クラスターを作成できます。クラスターは Auto モードでノードプールを自動的に作成します。ACK は、このプール内のノードのライフサイクルと運用保守 (O&M) を管理します。

Auto モードを有効にする前に、「Auto モードの概要」を確認して、その特徴とシナリオについて学習してください。

準備

計画と設計

クラスターを作成する前に、ビジネスニーズに基づいてその構成を計画します。これにより、クラスターが安定的、効率的、かつ安全に実行されることが保証されます。

  • リージョン: ユーザーの地理的な場所に近いリージョンにデプロイされたサービスは、ユーザーがサービスにアクセスする際の応答性が高くなります。

  • ゾーン: クラスターの高可用性を確保するために、複数のゾーンを構成することをお勧めします。

  • ACK クラスターのネットワークを計画する: ビジネスシナリオとクラスターサイズに基づいて、VPC CIDR ブロック、vSwitch CIDR ブロック、コンテナー CIDR ブロック、および Service CIDR ブロックを構成します。次に、クラスターの IP アドレス範囲と、Pod およびノードで使用可能な IP アドレスの数を指定します。

  • インターネットへのアクセス: クラスター内のノードがインターネットにアクセスできるかどうかを指定します。パブリックイメージをプルする場合、クラスターはインターネットに接続している必要があります。

アクティベーションと権限付与

クラスターを作成する前に、必要なサービスをアクティベートし、アカウントに権限を付与します。

手順

  1. ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

  2. ページの左上隅で、ターゲットリソースが存在するリソースグループとリージョンを選択します。image

  3. [クラスター一覧] ページで、[クラスターの作成] をクリックします。[ACK マネージドクラスター] ページで、Auto モードを有効にします。

    image

  4. 画面の指示に従ってクラスターを構成します。クラスターの構成を確認し、サービス利用規約を読んでから、[クラスターの作成] をクリックします。

    設定項目の詳細については、「クラスター構成の説明」をご参照ください。

    Auto モードは ACK Pro クラスターでのみ利用可能で、クラスター管理および関連するクラウドプロダクトの料金が発生します。作成ページの下部でクラスターの総コストを確認できます。ACK およびその他のプロダクトの課金ドキュメントも表示できます。詳細については、「課金の概要」および「クラウドプロダクトのリソース料金」をご参照ください。

    ページの右上隅にある [等価コード] をクリックすると、現在のクラスター構成に対応する Terraform または SDK コードを生成できます。
  • クラスターが作成されると、「Auto モードのノードプール」が自動的に作成されます。このノードプールは、ワークロードに基づいて動的にスケールインまたはスケールアウトします。ACK は、OS バージョンのアップグレード、ソフトウェアバージョンのアップグレード、セキュリティ脆弱性の修正など、ノードのライフサイクルを管理します。

  • クラスターが作成されると、ACK は構成に基づいてコンポーネントをインストールします。これらのコンポーネントは、クラスター内の計算リソースを消費する場合があります。Auto モードのノードプールは、ノードを追加するために自動的にスケールアウトします。

次のステップ

ワークロードをデプロイしてロードバランシングを実装する

付録

責任共有モデル

ACK マネージドクラスターの Auto モードは、Kubernetes クラスターの自動化されたインテリジェントな運用保守 (O&M) 機能を提供し、管理ワークロードを削減します。ただし、一部のシナリオでは、特定のタスクについて依然としてお客様に責任があります。

Alibaba Cloud の責任

お客様の責任

共有責任

  • クラスターコントロールプレーンのデプロイ、メンテナンス、アップグレード。

  • コアクラスターコンポーネントのインストール、構成、アップグレード。

  • ノードプールの自動スケーリング、OS のアップグレード、ソフトウェアのアップグレード (CVE 脆弱性の修正を含む)。

  • ネットワーク計画や VPC 構成などの基本的なクラスター情報を構成する。

  • クラスターの RAM 権限と RBAC を設定および管理する。

  • アプリケーションワークロードをデプロイ、運用し、適切に構成する。適切な構成には、レプリカ数、PreStop などのグレースフルシャットダウンポリシー、PodDisruptionBudget ポリシーが含まれます。これにより、ビジネスを中断することなく、O&M のためにノードをドレインできます。

  • クラスターとアプリケーションのモニタリングアラートを迅速に受信し、アラート情報に対応する。

  • クラスター全体のセキュリティを確保する。クラスターのセキュリティ責任は、責任共有モデルに従います。詳細については、「セキュリティの責任共有モデル」をご参照ください。

  • 問題のトラブルシューティングと解決。

クォータと制限

クラスターサイズが大きい場合や、アカウントに多数のリソースがある場合は、ACK クラスターに指定されているクォータと制限に従ってください。詳細については、「クォータと制限」をご参照ください。

  • 制限: アカウント残高やクラスターの容量制限など、ACK の構成上の制限。クラスターの容量制限とは、クラスター内のさまざまな Kubernetes リソースの最大容量のことです。

  • クォータ制限とクォータの引き上げ方法: ACK クラスターのクォータ制限と、ECS や VPC など、ACK が依存するクラウドサービスのクォータ制限。クォータを引き上げたい場合は、関連するトピックをご参照ください。

クラスター構成の説明

デフォルトの構成を使用してクラスターを作成することも、要件や利用可能なリソースに基づいてカスタマイズすることもできます。表の [変更可能] 列で、No は作成後に設定を変更できないことを示し、Yes は変更できることを示します。変更できない設定には特に注意してください。

基本構成

設定項目

説明

変更可能

クラスター名

クラスターのカスタム名。

リージョン

クラスターがデプロイされるリージョン。選択したリージョンがユーザーやデプロイされたリソースに近いほど、ネットワーク遅延が低くなり、アクセス速度が速くなります。

クラスターのメンテナンスウィンドウ

ACK は、メンテナンスウィンドウ内でクラスターを自動的に更新し、マネージドノードプールで自動 O&M 操作を実行します。操作には、ランタイムの更新や OS の CVE 脆弱性の自動修正が含まれます。[設定] をクリックして、詳細なメンテナンスポリシーを構成できます。

ネットワーク構成

設定項目

説明

変更可能

Ipv6 デュアルスタック

IPv4/IPv6 デュアルスタックを有効にすると、デュアルスタッククラスターが作成されます。

重要
  • Kubernetes 1.22 以降を実行するクラスターのみがこの機能をサポートします。

  • ワーカーノードとコントロールプレーン間の通信には IPv4 アドレスが使用されます。

  • コンテナーネットワークプラグインとして Terway を選択する必要があります。

  • Terway の共有 ENI モードを使用する場合、ECS インスタンスタイプは IPv6 アドレスをサポートする必要があります。指定したタイプの ECS インスタンスをクラスターに追加するには、ECS インスタンスタイプがサポートする IPv4 アドレスの数と IPv6 アドレスの数が同じである必要があります。ECS インスタンスタイプの詳細については、「インスタンスファミリーの概要」をご参照ください。

  • クラスターが使用する VPC は、IPv4/IPv6 デュアルスタックをサポートする必要があります。

  • クラスターで eRDMA を使用する場合は、IPv4/IPv6 デュアルスタックを無効にする必要があります。

VPC

クラスターの VPC を構成します。[ゾーン] を指定して VPC を自動的に作成できます。VPC リストから既存の VPC を選択することもできます。

SNAT の設定

クラスターに共有 VPC を使用する場合は、このオプションを選択しないでください。

このチェックボックスを選択すると、ACK は新しく作成または選択された VPC に対して次の操作を実行します。

  • VPC に NAT ゲートウェイがない場合、NAT ゲートウェイが自動的に作成され、クラスターが使用するすべての vSwitch に対して vSwitch レベルの SNAT ルールが構成されます。

  • VPC にすでに NAT ゲートウェイがある場合:

    • VPC レベルの SNAT ルールがない場合、クラスターが使用するすべての vSwitch に対して vSwitch レベルの SNAT ルールが自動的に構成されます。

    • VPC レベルの SNAT ルールがすでに存在する場合、アクションは実行されません。

このチェックボックスを選択しない場合、クラスター作成後に NAT ゲートウェイを手動で構成し、SNAT ルールを構成して、VPC 内のインスタンスがインターネットにアクセスできるようにすることができます。詳細については、「インターネット NAT ゲートウェイの作成と管理」をご参照ください。

API サーバーへのアクセス

API サーバーは、作成、読み取り、更新、削除、監視操作など、リソースオブジェクト (Pod や Service など) を管理するためのさまざまな HTTP REST インターフェイスを提供します。

  • デフォルトでは、システムはAPI サーバー用に内部向け従量課金 CLB インスタンスを作成し、クラスター内のAPI サーバーの内部エンドポイントとして機能させます。

  • 既存の CLB インスタンスを使用するには、まずチケットを送信してホワイトリストアクセスをリクエストする必要があります。[既存を使用] [VPC] を構成した後、[ロードバランサーソース][既存を使用] に設定し、次に [既存の CLB インスタンスを選択] します。

[EIP で API サーバーを公開] するかどうかを指定します。

  • 公開: この機能を有効にすると、EIP はAPI サーバーを公開するために使用される内部向け CLB インスタンスに関連付けられます。これにより、インターネット経由でクラスターのAPI サーバーにアクセスできます。

  • 公開しない: EIP は作成されません。VPC 内からのみ kubeconfig ファイルを使用してクラスターに接続し、クラスターを管理できます。

重要
  • デフォルトの CLB インスタンスを削除すると、API サーバーにアクセスできなくなります。

  • EIP を CLB インスタンスにバインドした後、API サーバーはパブリックネットワークからのリクエストを受信できます。ただし、クラスター内のリソースはパブリックネットワークにアクセスできません。クラスター内のリソースがパブリックネットワークにアクセスしてパブリックイメージをプルできるようにするには、[VPC の SNAT を構成] チェックボックスを選択します。

  • 2024 年 12 月 1 日以降、新しく作成された CLB インスタンスにはインスタンス料金が課金されます。詳細については、「CLB 課金調整」をご参照ください。

ネットワークプラグイン

Flannel と Terway がサポートされています。Terway と Flannel の比較の詳細については、「Terway と Flannel の比較」をご参照ください。

  • Flannel は、コミュニティによって提供されるオープンソースのネットワークプラグインです。Flannel は、ACK で Alibaba Cloud の VPC を使用します。パケットは VPC ルートテーブルに基づいて転送されます。Flannel は、より小さなノード、簡素化されたネットワーク構成を必要とし、コンテナーネットワークに対するカスタムコントロールの要件がないシナリオに適しています。

  • Terway は、Alibaba Cloud によって開発されたネットワークプラグインです。このプラグインは、Elastic Network Interface (ENI) に基づいてネットワークを構築します。Terway は、拡張 Berkeley Packet Filter (eBPF) を使用してネットワークトラフィックを高速化することをサポートしています。Terway は、ネットワークポリシー、Pod レベルのスイッチ、セキュリティグループもサポートしています。Terway は、大規模なノード、高いネットワークパフォーマンスとセキュリティを必要とする、ハイパフォーマンスコンピューティング、ゲーム、マイクロサービスなどのシナリオに適しています。

    重要
    • Terway を選択した場合、ENI のセカンダリ IP アドレスが各 Pod に割り当てられます。ENI は複数の IP アドレスを割り当てることができます (インスタンスの仕様によります)。ノードにデプロイできる Pod の数は、ノードにアタッチされている ENI の数と、これらの ENI が提供するセカンダリ IP アドレスの最大数によって決まります。

    • クラスターに共有 VPC を選択した場合、ネットワークプラグインとして Terway を選択する必要があります。

    • Flannel を選択した場合、ALB Ingress は NodePort および LoadBalancer Service へのリクエスト転送のみをサポートし、ClusterIP Service はサポートしません。

    ネットワークプラグインパラメーターを Terway に設定すると、次のパラメーターを構成できます。

    • [DataPathV2]

      DataPath V2 加速モードは、クラスターを作成するときにのみ有効にできます。包括的な ENI モードの Terway で DataPath V2 加速モードを有効にすると、Terway は異なるトラフィック転送パスを採用してネットワーク通信を高速化します。詳細については、「ネットワークアクセラレーション」をご参照ください。

      説明
      • Kubernetes 1.34 以降のクラスターを作成し、DataPath V2 を選択した場合、kube-proxy は Terway ノードで実行されなくなります。

        • このモードはデフォルトで portmap をサポートしています。portmap プラグインを構成する必要はありません。詳細については、「カスタム CNI チェーンを構成する」をご参照ください。

      • DataPath V2 は、次のオペレーティングシステムイメージでのみサポートされており、Linux カーネル 5.10 以降が必要です。

        • Alibaba Cloud Linux 3 (すべてのバージョン)

        • ContainerOS

        • Ubuntu

      • この機能を有効にすると、Terway ポリシーコンテナーは各ワーカーノードで追加の 0.5 CPU コアと 512 MB のメモリを消費することが予想されます。この消費量はクラスターサイズとともに増加します。Terway のデフォルト構成では、ポリシーコンテナーの CPU 制限は 1 コアで、メモリ制限はありません。

      • DataPath V2 モードでは、コンテナーネットワークの接続追跡 (conntrack) 情報が eBPF マップに保存されます。Linux のネイティブ conntrack メカニズムと同様に、eBPF conntrack は LRU (Least Recently Used) アルゴリズムを使用します。マップが容量制限に達すると、最も古い接続レコードが自動的に削除され、新しい接続が保存されます。接続数が制限を超えないように、サービス規模に応じて関連パラメーターを構成する必要があります。詳細については、「Terway モードで conntrack 構成を最適化する」をご参照ください。

    • [NetworkPolicy のサポート]

      このオプションを選択すると、クラスターはネイティブの Kubernetes NetworkPolicy をサポートします。

      説明
      • Terway v1.9.2 以降、新しいクラスターの NetworkPolicy は eBPF によって実装され、データプレーンで DataPathv2 機能が有効になります。

      • コンソールで NetworkPolicy を管理する機能はパブリックプレビュー中です。この機能を使用するには、クォータセンターコンソールでリクエストを送信する必要があります。

    • [ENI Trunking のサポート]

      Terway Trunk ENI 機能を使用すると、各 Pod に静的 IP アドレス、個別の vSwitch、および個別のセキュリティグループを指定できます。これにより、ユーザートラフィックの管理と分離、ネットワークポリシーの構成、IP アドレスの詳細な管理が可能になります。詳細については、「Pod に静的 IP アドレス、個別の vSwitch、および個別のセキュリティグループを構成する」をご参照ください。

      説明
      • ACK マネージドクラスターは、リクエストを送信せずに Trunk ENI オプションを使用できます。ACK 専用クラスターで Trunk ENI を有効にする場合は、クォータセンターコンソールでリクエストを送信する必要があります。

      • Kubernetes 1.31 以降では、新しい ACK マネージドクラスターに対して Trunk ENI 機能が自動的に有効になります。このオプションを手動で選択する必要はありません。

ポッド Vswitch

このパラメーターは、ネットワークプラグインとして Terway を選択した場合にのみ構成します。

Pod に IP アドレスを割り当てるために使用される vSwitch。各 Pod vSwitch はワーカーノードの vSwitch に対応します。Pod の vSwitch とワーカーノードの vSwitch は同じゾーンにある必要があります。

重要

Pod vSwitch の CIDR ブロックのサブネットマスクは 19 ビット以下に設定することをお勧めしますが、サブネットマスクは 25 ビットを超えてはなりません。そうしないと、クラスターネットワークには Pod に割り当てることができる IP アドレスの数が限られてしまい、結果としてクラスターが期待どおりに機能しない可能性があります。

コンテナー CIDR ブロック

このパラメーターは、ネットワークプラグインとして Flannel を選択した場合にのみ構成します。

[コンテナー CIDR ブロック] は、VPC の CIDR ブロック、VPC 内の ACK クラスターの CIDR ブロック、または Service CIDR ブロックと重複してはなりません。コンテナー CIDR ブロックは、指定後に変更することはできません。クラスターの CIDR ブロックを計画する方法の詳細については、「ACK マネージドクラスターのネットワーク計画」をご参照ください。

ノードあたりのポッド数

このパラメーターは、ネットワークプラグインとして Flannel を選択した場合にのみ構成します。

単一ノードに保存できる Pod の最大数。

サービス CIDR

Service CIDR は、クラスター内の Service に IP アドレスを割り当てるための専用のネットワークアドレス範囲です。この CIDR ブロックは、VPC の CIDR ブロック、VPC 内の既存の ACK クラスターの CIDR ブロック、またはコンテナー CIDR ブロックと重複してはなりません。クラスターの CIDR ブロックを計画する方法の詳細については、「ACK マネージドクラスターのネットワーク計画」をご参照ください。

サービス転送モード

iptables と IPVS がサポートされています。

  • iptables は、成熟して安定した kube-proxy モードです。このモードでは、Kubernetes Service のサービスディスカバリーとロードバランシングは iptables ルールを使用して構成されます。このモードのパフォーマンスは、Kubernetes クラスターのサイズに依存します。このモードは、少数の Service を管理する Kubernetes クラスターに適しています。

  • IPVS は、高性能な kube-proxy モードです。このモードでは、Kubernetes Service のサービスディスカバリーとロードバランシングは Linux の IPVS モジュールによって構成されます。このモードは、多くの Service を管理するクラスターに適しています。高性能なロードバランシングが必要なシナリオでは、このモードを使用することをお勧めします。

詳細オプション

以下の構成は、Kubernetes クラスターのベストプラクティスに基づいています。デフォルト設定を維持できます。調整を行うには、説明を参照し、ページに表示されるプロンプトに従って設定を変更してください。

設定項目

説明

変更可能

Kubernetes バージョン

サポートされている Kubernetes のバージョン。最新バージョンを使用することをお勧めします。詳細については、「ACK でサポートされている Kubernetes のバージョン」をご参照ください。

手動クラスターアップグレード自動クラスターアップグレード

自動アップグレード

クラスターの自動更新機能を有効にして、コントロールプレーンコンポーネントとノードプールの定期的な自動更新を保証します。ACK は、メンテナンスウィンドウ内でクラスターを自動的に更新します。自動更新ポリシーと使用方法の詳細については、「クラスターを自動的にアップグレードする」をご参照ください。

セキュリティグループ

[VPC][既存を使用] に設定されている場合、[既存のセキュリティグループを選択] オプションを選択できます。

[基本セキュリティグループの作成][詳細セキュリティグループの作成]、または [既存のセキュリティグループの選択] を選択できます。

  • デフォルトでは、自動的に作成されたセキュリティグループはすべてのアウトバウンドトラフィックを許可します。ビジネス目的でセキュリティグループを変更する場合は、100.64.0.0/10 CIDR ブロックからのインバウンドトラフィックが許可されていることを確認してください。この CIDR ブロックは、他の Alibaba Cloud サービスにアクセスしてイメージをプルしたり、基本的な ECS 情報をクエリしたりするために使用されます。

  • 既存のセキュリティグループを選択した場合、システムはセキュリティグループルールを自動的に構成しません。これにより、クラスター内のノードにアクセスする際にエラーが発生する可能性があります。セキュリティグループルールを手動で構成する必要があります。詳細については、「クラスターのセキュリティグループを構成する」をご参照ください。

削除保護

コンソールまたは OpenAPI を使用して削除保護を有効にし、クラスターが誤ってリリースされるのを防ぐことをお勧めします。

リソースグループ

クラスターが属するリソースグループ。各リソースは 1 つのリソースグループにのみ属することができます。ビジネスシナリオに基づいて、リソースグループをプロジェクト、アプリケーション、または組織と見なすことができます。

ラベル

クラスターにラベルを追加します。ラベルはクラウドリソースを識別するために使用されます。ラベルはキーと値のペアです。

タイムゾーン

クラスターのタイムゾーン。デフォルトでは、ブラウザのタイムゾーンが選択されます。

Log Service

既存の SLS プロジェクトを選択するか、プロジェクトを作成してクラスターログを収集できます。アプリケーション作成時に SLS を迅速に構成する方法の詳細については、「Simple Log Service を使用してコンテナーからログデータを収集する」をご参照ください。

  • [Ingress ダッシュボードの作成]: SLS コンソールに Ingress ダッシュボードを作成して、NGINX Ingress のアクセスログを収集します。詳細については、「NGINX Ingress のアクセスログを分析および監視する」をご参照ください。

  • [Node-problem-detector のインストールとイベントセンターの作成]: SLS コンソールにイベントセンターを追加して、クラスター内のすべてのイベントをリアルタイムで収集します。詳細については、「イベントセンターの作成と使用」をご参照ください。

アラート

アラート管理機能を有効にします。連絡先と連絡先グループを指定できます。デフォルトは [デフォルトの連絡先グループ] です。