すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:ACK管理クラスターの作成

最終更新日:Jan 23, 2025

Container Service for Kubernetes (ACK) マネージドクラスターを作成するには、ワーカーノードを作成するだけです。 マスターノードを構成したり、コントロールプレーンを維持したりする必要はありません。 制御プレーンは、ACKによって作成および管理される。 これにより、O&Mコストが削減され、アプリケーション開発に集中できます。 このトピックでは、ACKコンソールでACK管理クラスターを作成する方法について説明します。

前提条件

ACKが有効化され、Alibaba Cloudサービスへのアクセスが許可されます。 詳細については、「有効化とACKへのアクセス許可の付与」をご参照ください。

制限事項

項目

制限事項

クォータ制限 /参照の増加に関するリンク

ネットワーク

ACKクラスターはVPCのみをサポートします。

VPCとは何ですか?

クラウドリソース

ECS

従量課金およびサブスクリプション課金方法がサポートされています。 ECSインスタンスの作成後、ECSコンソールで課金方法を従量課金からサブスクリプションに変更できます。

ECS インスタンスの課金方法を従量課金からサブスクリプションに変更する

VPCルートエントリ

デフォルトでは、Flannelを実行するACKクラスターのVPCに最大200のルートエントリを追加できます。 Terwayを実行するACKクラスターのVPCにはこの制限はありません。 ACKクラスターのVPCにさらにルートエントリを追加する場合は、VPCのクォータの増加をリクエストします。

クォータセンター

セキュリティグループ

デフォルトでは、各アカウントで最大100のセキュリティグループを作成できます。

リソースクォータの表示と増加

SLB instances

デフォルトでは、各アカウントで最大60の従量課金SLBインスタンスを作成できます。

クォータセンター

EIP

デフォルトでは、各アカウントで最大20のEIPを作成できます。

クォータセンター

ステップ1: ACKコンソールへのログイン

  1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

  2. ページ上部の [すべてのリソース] にポインターを移動し、使用するリソースグループを選択します。 リソースグループを選択すると、リソースグループに属する仮想プライベートクラウド (VPC) とvSwitchが表示されます。 クラスターを作成すると、指定されたリソースグループに属するVPCとvSwitchのみが表示されます。资源组

  3. On theクラスターページをクリックします。Kubernetesクラスターの作成.

手順2: クラスターの設定

[ACK管理Kubernetes] タブで、クラスターの基本、ネットワーク、および詳細設定を設定します。

基本設定

パラメーター

説明

クラスター名

クラスターの名前。 名前は1 ~ 63文字で、数字、文字、ハイフン (-) 、およびアンダースコア (_) を使用できます。 名前は文字または数字で始まる必要があります。

クラスター仕様

クラスタータイプを選択します。 [Professional] または [Basic] を選択できます。 Container Service for Kubernetes (ACK) Proクラスターは、本番環境とテスト環境で使用することを推奨します。 ACK Basicクラスターは、個々のユーザーの学習とテストのニーズを満たすことができます。

リージョン

クラスターのリージョン

Kubernetesバージョン

サポートされているKubernetesのバージョン。 詳細については、「ACKでサポートされているKubernetesバージョン」をご参照ください。

自動アップデート

クラスターの自動更新機能を有効にして、制御プレーンコンポーネントとノードプールの定期的な自動更新を保証します。 ACKは、設定に基づいてメンテナンス期間内にクラスターを自動的に更新します。 自動更新ポリシーと使用方法の詳細については、「クラスターの自動更新」をご参照ください。

メンテナンス期間

ACKはクラスターを自動的に更新し、メンテナンス期間内にマネージドノードプールで自動O&M操作を実行します。 操作には、CVE脆弱性のランタイム更新と自動修正が含まれます。 [設定] をクリックすると、詳細なメンテナンスポリシーを設定できます。

ネットワーク設定

パラメーター

説明

IPv6デュアルスタック

この機能はパブリックプレビュー中です。 これを使用するには、Quota Centerコンソールでアプリケーションを送信します。

IPv4/IPv6デュアルスタックを有効にすると、デュアルスタッククラスタが作成されます。

重要
  • Kubernetes 1.22を実行するクラスターのみがこの機能をサポートしています。

  • IPv4アドレスは、ワーカーノードと制御プレーンとの間の通信に使用される。

  • ネットワークプラグインとしてTerwayを選択する必要があります。

  • Terwayの共有ENIモードを使用する場合、ECSインスタンスタイプはIPv6アドレスをサポートしている必要があります。 指定されたタイプのECSインスタンスをクラスターに追加するには、ECSインスタンスタイプでサポートされるIPv4アドレスの数がIPv6アドレスの数と同じである必要があります。 ECSインスタンスタイプの詳細については、「インスタンスファミリーの概要」をご参照ください。

  • クラスターが使用するVPCは、IPv4/IPv6デュアルスタックをサポートする必要があります。

  • クラスターでElastic Remote Direct Memory Access (eRDMA) を使用する場合は、IPv4/IPv6デュアルスタックを無効にする必要があります。

VPC

クラスターのVPCを設定します。 ゾーンを指定して、VPCを自動的に作成できます。 VPCリストで既存のVPCを選択することもできます。

SNATの設定

作成または選択したVPCがインターネットにアクセスできない場合、このチェックボックスをオンにします。 これにより、ACKは自動的にNATゲートウェイを作成し、SNATルールを設定します。

このチェックボックスをオンにしない場合は、手動でNATゲートウェイを設定し、SNATルールを設定して、VPC内のインスタンスがインターネットにアクセスできるようにすることができます。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

vSwitch

vSwitchリストから既存のvSwitchを選択するか、[vSwitchの作成] をクリックしてvSwitchを作成します。 コントロールプレーンとデフォルトのノードプールは、選択したvSwitchを使用します。 高可用性を確保するために、異なるゾーンで複数のvSwitchを選択することを推奨します。

セキュリティグループ

[既存のセキュリティグループの選択] オプションを選択できるのは、ホワイトリストのユーザーのみです。 ホワイトリストへの追加を申請するには、Quota Centerコンソールにログインして申請を送信します。

選択できます基本作成セキュリティグループ,高度な作成セキュリティグループ、または既存の選択セキュリティグループ.

  • デフォルトでは、自動的に作成されたセキュリティグループはすべてのアウトバウンドトラフィックを許可します。 業務用にセキュリティグループを変更する場合は、100.64.0.0/10宛のトラフィックが許可されていることを確認してください。 このCIDRブロックは、他のAlibaba Cloudサービスにアクセスしてイメージをプルし、基本的なECS情報を照会するために使用されます。

  • 既存のセキュリティグループを選択した場合、セキュリティグループルールは自動的に設定されません。 これにより、クラスター内のノードにアクセスするときにエラーが発生する可能性があります。 セキュリティグループルールを手動で設定する必要があります。 詳細については、「クラスターのセキュリティグループの設定」をご参照ください。

APIサーバーへのアクセス

クラスター内のAPIサーバーの内部エンドポイントとして機能するAPIサーバー用の [従量課金] 内部対応のClassic Load Balancer (CLB) インスタンスを作成します。

重要
  • デフォルトのCLBインスタンスを削除すると、APIサーバーにアクセスできません。

  • 2024年12月1日から、新しく作成されたCLBインスタンスに対してインスタンス料金が請求されます。

    詳細については、「 CLB課金の調整

[APIサーバーをEIPで公開] を選択またはクリアできます。 APIサーバーは、複数のHTTPベースのRESTful APIを提供し、ポッドやサービスなどのリソースの作成、削除、変更、クエリ、および監視に使用できます。

  • このチェックボックスをオンにすると、elastic IPアドレス (EIP) が作成され、CLBインスタンスに関連付けられます。 APIサーバーが使用するポート6443は、マスターノードで開かれます。 kubeconfigファイルを使用して、インターネット経由でクラスターに接続して管理できます。

  • このチェックボックスをオフにすると、EIP は作成されません。 kubeconfigファイルを使用して、VPC内からのみクラスターに接続し、クラスターを管理できます。

ネットワークプラグイン

フランネルとTerwayがサポートされています。 TerwayとFlannelの比較の詳細については、「TerwayとFlannelの比較」をご参照ください。

  • Flannel: オープンソースのKubernetesによって開発されたシンプルで安定したContainer Network Interface (CNI) プラグイン。 Flannelはいくつかの簡単な機能を提供し、標準のKubernetesネットワークポリシーをサポートしていません。

  • Terway: Alibaba Cloud Container Serviceによって開発されたネットワークプラグイン。 Terwayでは、Alibaba Cloud Elastic Network Interface (ENI) をコンテナーに割り当てることができます。 Terwayでは、Kubernetesのネットワークポリシーをカスタマイズしてコンテナ間の相互通信を制御し、個々のコンテナに帯域幅調整を実装することもできます。

    説明
    • ノードにデプロイできるポッドの数は、ノードにアタッチされているENIの数と、これらのENIによって提供されるセカンダリIPアドレスの最大数によって異なります。

    • [Terway] を選択した場合、ENIは複数のポッド間で共有されます。 ENIのセカンダリIPアドレスが各ポッドに割り当てられます。

    • クラスターに共有VPCを選択する場合、ネットワークプラグインとしてTerwayを選択する必要があります。

    Network Plug-inパラメーターをTerwayに設定すると、次のパラメーターを設定できます。

    • DataPathV2

      DataPath V2アクセラレーションモードは、クラスターを作成する場合にのみ有効にできます。 包括的ENIモードでTerwayのDataPath V2アクセラレーションモードを有効にすると、Terwayは別のトラフィック転送パスを採用してネットワーク通信を高速化します。 詳細については、「ネットワークの高速化」をご参照ください。

      説明

      この機能を有効にすると、Terwayポリシーを使用したコンテナーでは、各ワーカーノードで追加の0.5コアと512 MBのリソースが消費されることが予想されます。 Terwayのデフォルト設定では、コンテナーのCPU制限は1コアに設定されており、メモリに制限は指定されていません。

    • NetworkPolicyのサポート

      このチェックボックスをオンにすると、KubernetesネイティブのNetworkPoliciesがサポートされます。

      コンソールを使用してNetworkPoliciesを管理する機能は、パブリックプレビューにあります。 この機能を使用する場合は、クォータセンターコンソールにログインしてアプリケーションを送信します。

    • ENIトランキングのサポート

      Terway Trunk ENI機能を使用すると、静的IPアドレス、個別のvSwitch、およびポッドごとに個別のセキュリティグループを指定できます。 これにより、ユーザートラフィックの管理と分離、ネットワークポリシーの設定、およびIPアドレスの管理をきめ細かく行うことができます。 詳細については、「ポッドの静的IPアドレスの設定、vSwitchの分離、およびセキュリティグループの分離」をご参照ください。

      説明
      • ACK管理クラスターのENIトランキングのサポートオプションを選択すると、アプリケーションを送信する必要はありません。 ACK専用クラスターでトランクENI機能を有効にする場合は、クォータセンターコンソールにログインしてアプリケーションを送信します。

      • デフォルトでは、Trunk ENI機能は、Kubernetes 1.31以降のバージョンを実行する新しく作成されたACK管理クラスターに対して有効になっています。

コンテナCIDRブロック

このパラメーターは、ネットワークプラグインとしてFlannelを選択した場合にのみ設定します。

コンテナーCIDRブロックは、VPCのCIDRブロック、VPC内のACKクラスターのCIDRブロック、またはサービスCIDRブロックと重複してはなりません。 コンテナCIDRブロックは、指定後は変更できません。 クラスターのCIDRブロックを計画する方法の詳細については、「ACKクラスターのネットワークを計画する」をご参照ください。

ノードあたりのポッド数

このパラメーターは、ネットワークプラグインとしてFlannelを選択した場合にのみ設定します。

1つのノードに格納できるポッドの最大数。

ポッドvSwitch

このパラメーターは、ネットワークプラグインとしてTerwayを選択した場合にのみ設定します。

ポッドにIPアドレスを割り当てるために使用されるvSwitch。 各ポッドvSwitchは、ワーカーノードのvSwitchに対応します。 ポッドのvSwitchとワーカーノードのvSwitchは同じゾーンにある必要があります。

重要

ポッドvSwitchのCIDRブロックのサブネットマスクを19ビット以下に設定することを推奨しますが、サブネットマスクは25ビットを超えてはなりません。 それ以外の場合、クラスタネットワークには、ポッドに割り当てることができるIPアドレスの数が限られています。 その結果、クラスターは期待通りに機能しない可能性があります。

サービスCIDR

Service CIDRブロックは、VPCのCIDRブロック、VPC内のACKクラスターのCIDRブロック、またはポッドCIDRブロックと重複してはなりません。 Service CIDRブロックは、指定後は変更できません。 クラスターのCIDRブロックを計画する方法の詳細については、「ACKクラスターのネットワークを計画する」をご参照ください。

IPv6サービスCIDR

IPv4/IPv6デュアルスタックを有効にする場合にのみ、このパラメーターを設定します。

サービスのIPv6 CIDRブロックを設定します。 アドレス範囲fc00::/7内に一意のローカルユニキャストアドレス (ULA) スペースを指定する必要があります。 プレフィックスの長さは112ビットから120ビットでなければなりません。 Service CIDRブロックと同じ数のIPアドレスを持つIPv6 CIDRブロックを指定することを推奨します。

クラスターのCIDRブロックを計画する方法の詳細については、「ACKクラスターのネットワークを計画する」をご参照ください。

拡張設定

[詳細オプション (オプション)] をクリックして転送モードを設定します。

パラメーター

説明

転送モード

iptablesとIP仮想サーバー (IPVS) がサポートされています。

  • iptablesは成熟した安定したkube-proxyモードです。 このモードでは、Kubernetes Servicesのサービス検出と負荷分散は、iptablesルールを使用して設定されます。 このモードのパフォーマンスは、Kubernetesクラスターのサイズによって異なります。 このモードは、少数のサービスを管理するKubernetesクラスターに適しています。

  • IPVSは、高性能のkube-proxyモードです。 このモードでは、Kubernetes Servicesのサービス検出と負荷分散は、LinuxのIPVSモジュールによって設定されます。 このモードは、多数のサービスを管理するクラスターに適しています。 高パフォーマンスのロードバランシングが必要なシナリオでは、このモードを使用することを推奨します。

[詳細オプション (オプション)] をクリックして、削除保護やリソースグループなどの詳細設定を行います。

詳細設定を表示

パラメーター

説明

削除保護

クラスターが誤ってリリースされないように、コンソールまたはAPIを使用して削除保護を有効にすることを推奨します。

リソースグループ

クラスターが属するリソースグループ。 各リソースは1つのリソースグループにのみ属することができます。 リソースグループは、ビジネスシナリオに基づいて、プロジェクト、アプリケーション、または組織と見なすことができます。

ラベル

クラスターにラベルを追加するキーと値を入力します。 キーは必須であり、一意でなければなりません。 キーの長さは64文字を超えてはなりません。 値はオプションです。 値の長さは128文字を超えてはなりません。

  • キーまたは値は、aliyunacs:https://http:// で始めることはできません。 キーと値は大文字と小文字を区別しません。

  • 同じリソースに追加されるラベルのキーは一意である必要があります。 使用済みキーを使用してラベルを追加すると、同じキーを使用するラベルがラベルに上書きされます。

  • リソースに20を超えるラベルを追加すると、すべてのラベルが無効になります。 残りのラベルが有効になるように、余分なラベルを削除する必要があります。

タイムゾーン

クラスターのタイムゾーン。 デフォルトでは、ブラウザのタイムゾーンが選択されています。

クラスタードメイン

クラスタードメインを設定します。 デフォルトのドメイン名はcluster.localです。 カスタムドメイン名を入力できます。 クラスタードメインは、クラスター内のすべてのサービスで使用されるトップレベルドメイン名 (標準サフィックス) です。 たとえば、デフォルトの名前空間のmy-Serviceという名前のサービスのDNS名はmy-service.default.svc.cluster.localです。

カスタム証明書SAN

クラスターのAPIサーバー証明書にカスタムサブジェクト代替名 (SAN) を入力して、指定したIPアドレスまたはドメイン名からのリクエストを受け入れることができます。 これにより、クライアントからのアクセスを制御できます。 詳細については、「ACKクラスター作成時のAPIサーバー証明書のSANのカスタマイズ」をご参照ください。

サービスアカウントトークンのボリューム投影

ACKはサービスアカウントトークンボリューム予測を提供し、ポッドがサービスアカウントを使用してKubernetes APIサーバーにアクセスする際のセキュリティリスクを軽減します。 この機能により、kubeletはポッドの代わりにトークンを要求して保存できます。 この機能では、オーディエンスや有効期間などのトークンプロパティを設定することもできます。 詳細については、「ServiceAccountトークンボリューム予測の使用」をご参照ください。

秘密の暗号化

ACK Proクラスター[select Key] を選択した場合、key Management Service (KMS) コンソールで作成されたキーを使用してKubernetes Secretsを暗号化できます。 詳細については、「KMSを使用したKubernetes Secretsの暗号化」をご参照ください。

RRSA OIDC

クラスターのサービスアカウントのRAMロール (RRSA) 機能を有効にして、クラスターにデプロイされているさまざまなポッドにアクセス制御を実装できます。 これにより、ポッドにきめ細かいAPI権限制御が実装されます。 詳細については、「RRSAを使用して異なるポッドに異なるクラウドサービスへのアクセスを許可する」をご参照ください。

ステップ3: ノードプールの設定

[次へ: ノードプールの設定] をクリックして、ノードプールの基本設定と詳細設定を設定します。

基本設定

パラメーター

説明

ノードプール名

ノードプール名を指定します。

Container Runtime

Kubernetesのバージョンに基づいてコンテナーランタイムを指定します。 コンテナランタイムの選択方法の詳細については、「Docker、containerd、およびSandboxed-containerの比較」をご参照ください。

  • containerd: containerdはすべてのKubernetesバージョンに推奨されます。

  • Sandboxed-Container: Kubernetes 1.31以前をサポートしています。

  • Docker (非推奨): 1.22以前のKubernetesをサポートしています。

管理対象ノードプールの設定

管理対象ノードプール

ACKが提供する管理対象ノードプールは、自動修復と自動CVEパッチ適用をサポートします。 これにより、O&Mワークロードが大幅に削減され、ノードのセキュリティが向上します。 [設定] をクリックすると、詳細なメンテナンスポリシーを設定できます。

自動回復ルール

このパラメーターは、管理対象ノードプール機能の有効化を選択した後に使用できます。

[異常ノードの再起動] を選択すると、関連するコンポーネントが自動的に再起動され、ノードが再起動される前にノードが正常状態で修復され、ノードがドレインされます。

自動更新ルール

このパラメーターは、管理対象ノードプール機能の有効化を選択した後に使用できます。

KubeletとContainerdの自動更新を選択した後、新しいバージョンが利用可能になると、システムは自動的にkubeletを更新します。 詳細については、「ノードプールの更新」をご参照ください。

自動CVEパッチ (OS)

このパラメーターは、管理対象ノードプール機能の有効化を選択した後に使用できます。

高リスク、中リスク、および低リスクの脆弱性を自動的にパッチするようにACKを設定できます。 詳細については、「ノードの自動修復の有効化」および「ノードプールのパッチOS CVE脆弱性」をご参照ください。

一部のパッチは、ECSインスタンスを再起動した後にのみ有効になります。 CVE脆弱性にパッチを適用するために必要なノードの再起動を有効にすると、ACKはオンデマンドでノードを自動的に再起動します。 このオプションを選択しない場合は、ノードを手動で再起動する必要があります。

メンテナンス期間

このパラメーターは、管理対象ノードプール機能の有効化を選択した後に使用できます。

イメージの更新、ランタイムの更新、およびKubernetesのバージョンの更新は、メンテナンス期間中に自動的に実行されます。

[設定] をクリックします。 [メンテナンスウィンドウ] ダイアログボックスで、[サイクル][開始時刻][期間] パラメーターを設定し、[OK] をクリックします。

インスタンスとイメージの設定

パラメーター

説明

課金方法

ECSインスタンスがノードプールでスケーリングされるときに使用されるデフォルトの課金方法。 [従量課金][サブスクリプション] 、または [プリエンプティブルインスタンス] を選択できます。

  • [サブスクリプション] 課金方法を選択した場合、[期間] パラメーターを設定し、[自動更新] を有効にするかどうかを選択する必要があります。

  • プリエンプティブインスタンス: ACKは、保護期間を持つプリエンプティブインスタンスのみをサポートします。 [現在のインスタンス仕様の上限] パラメーターも設定する必要があります。

    選択したインスタンスタイプのリアルタイム市場価格がこのパラメーターの値より低い場合、このインスタンスタイプのプリエンプティブルインスタンスが作成されます。 保護期間 (1時間) が終了すると、システムは5分ごとにインスタンスタイプのスポット価格とリソース可用性をチェックします。 リアルタイム市場価格が入札価格を超えた場合、またはリソースインベントリが不十分な場合、プリエンプティブルインスタンスはリリースされます。 詳細については、「プリエンプティブルインスタンスベースのノードプールのベストプラクティス」をご参照ください。

ノードプール内のすべてのノードが同じ課金方法を使用するようにするため、ACKでは、ノードプールの課金方法を従量課金またはサブスクリプションからプリエンプティブルインスタンスに変更することはできません。 たとえば、従量課金またはサブスクリプションとプリエンプティブルインスタンスの間でノードプールの課金方法を切り替えることはできません。

インスタンス関連のパラメーター

インスタンスタイプまたは属性に基づいて、ワーカーノードプールで使用されるECSインスタンスを選択します。 インスタンスファミリーは、vCPU、メモリ、インスタンスファミリー、アーキテクチャなどの属性でフィルタリングできます。 ノードの設定方法の詳細については、「ACKクラスターのECS仕様の選択に関する提案」をご参照ください。

ノードプールをスケールアウトすると、選択したインスタンスタイプのECSインスタンスが作成されます。 ノードプールのスケーリングポリシーは、スケールアウトアクティビティ中に新しいノードを作成するために使用されるインスタンスタイプを決定します。 複数のインスタンスタイプを選択して、ノードプールのスケールアウト操作の成功率を向上させます。

インスタンスタイプが使用できないか、インスタンスが在庫切れであるためにノードプールのスケールアウトに失敗した場合、ノードプールにさらに多くのインスタンスタイプを指定できます。 ACKコンソールは、ノードプールのスケーラビリティを自動的に評価します。 ノードプールの作成時またはノードプールの作成後に、ノードプールのスケーラビリティを確認できます。

GPU高速化インスタンスのみを選択した場合は、オンデマンドで [GPU共有の有効化] を選択できます。 詳細については、「cGPUの概要」をご参照ください。

オペレーティングシステム

Alibaba Cloud Marketplaceイメージはカナリアリリースです。
説明
  • ノードプールのOSイメージを変更した後、変更は新しく追加されたノードに対してのみ有効になります。 ノードプール内の既存のノードは、依然として元のOSイメージを使用する。 既存のノードのOSイメージを更新する方法の詳細については、「ノードプールの更新」をご参照ください。

  • ノードプール内のすべてのノードが同じOSイメージを使用するようにするために、ACKではノードのOSイメージを最新バージョンにのみ更新できます。 ACKでは、OSイメージのタイプを変更することはできません。

セキュリティ強化

クラスターのセキュリティ強化を有効にします。 クラスターの作成後にこのパラメーターを変更することはできません。

  • 無効化: ECSインスタンスのセキュリティ強化を無効にします。

  • MLPSセキュリティの強化: Alibaba Cloudはベースラインとベースラインチェック機能を提供し、Alibaba Cloud Linux 2イメージとAlibaba Cloud Linux 3イメージのレベル3標準のMulti-level Protection Scheme (MLPS) 2.0への準拠を確認するのに役立ちます。 MLPSセキュリティ強化は、OSイメージの互換性とパフォーマンスを損なうことなく、GB/T 22239-2019情報セキュリティ技術-サイバーセキュリティの分類保護のベースラインの要件を満たすようにOSイメージのセキュリティを強化します。 詳細については、「MLPSに基づくACKセキュリティ強化」をご参照ください。

    重要

    MLPSセキュリティ強化を有効にすると、ルートユーザーのSSHによるリモートログインは禁止されます。 Virtual Network Computing (VNC) を使用して、ECSコンソールからOSにログインし、SSH経由でログインできる通常のユーザーを作成できます。 詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。

  • OSセキュリティの強化: システムイメージがAlibaba Cloud Linux 2またはAlibaba Cloud Linux 3イメージの場合にのみ、Alibaba Cloud Linuxセキュリティの強化を有効にできます。

ログオンタイプ

[MLPSセキュリティ強化] を選択した場合、[パスワード] オプションのみがサポートされます。

有効な値: キーペアパスワード後で

  • ノードプールを作成するときのログオンタイプの設定:

    • キーペア: Alibaba Cloud SSHキーペアは、ECSインスタンスにログインするための安全で便利な方法を提供します。 SSHキーペアは、公開キーと秘密キーで構成されます。 SSHキーペアはLinuxインスタンスのみをサポートします。

      [ユーザー名] (ユーザー名として [root] または [ecs-user] を選択) と [キーペア] パラメーターを設定します。

    • パスワード: パスワードの長さは8〜30文字で、英数字、特殊文字を使用できます。

      ユーザー名 (ユーザー名としてrootまたはecs-userを選択) とパスワードパラメーターを設定します。

  • Later: インスタンスの作成後、キーペアをバインドするか、パスワードをリセットします。 詳細については、「インスタンスへのSSHキーペアのバインド」および「インスタンスのログインパスワードのリセット」をご参照ください。

ボリューム設定

パラメーター

説明

システムディスク

ESSD AutoPLEnterprise SSD (ESSD)ESSD EntryStandard SSD、およびUltra Diskがサポートされています。 選択できるシステムディスクのタイプは、選択するインスタンスファミリーによって異なります。 ドロップダウンリストに表示されないディスクタイプは、選択したインスタンスタイプではサポートされていません。

ESSDカスタムパフォーマンスと暗号化

  • [Enterprise SSD (ESSD)] を選択した場合、カスタムパフォーマンスレベルを設定できます。 ストレージ容量の大きいESSDでは、より高いパフォーマンスレベル (PL) を選択できます。 たとえば、ストレージ容量が460 GiBを超えるESSDにはPL 2を選択できます。 ストレージ容量が1,260 GiBを超えるESSDには、PL 3を選択できます。 詳細については、「容量とPL」をご参照ください。

  • Encryptionは、システムディスクタイプをEnterprise SSD (ESSD) に設定した場合にのみ選択できます。 デフォルトでは、デフォルトサービスCMKがシステムディスクの暗号化に使用されます。 KMSでBring Your Own Key (BYOK) を使用して生成された既存のCMKを使用することもできます。

システムディスク作成の成功率を向上させるために、[その他のシステムディスクタイプ] を選択し、[システムディスク] セクションで現在のディスクタイプ以外のディスクタイプを選択できます。 システムは、指定されたディスクタイプに基づいてシステムディスクを順番に作成しようとします。

データディスク

ESSD AutoPLEnterprise SSD (ESSD)ESSD EntrySSD、およびUltra Diskがサポートされています。 選択できるデータディスクの種類は、選択するインスタンスファミリーによって異なります。 ドロップダウンリストに表示されないディスクタイプは、選択したインスタンスタイプではサポートされていません。

ESSD AutoPLディスク

  • パフォーマンスのプロビジョニング: パフォーマンスのプロビジョニング機能を使用すると、ESSD AutoPLディスクのプロビジョニングされたパフォーマンス設定を構成して、ディスクを拡張することなく、ベースラインパフォーマンスを超えるストレージ要件を満たすことができます。

  • パフォーマンスバースト: パフォーマンスバースト機能により、ESSD AutoPLディスクは、読み書きワークロードのスパイクが発生したときにパフォーマンスをバーストし、ワークロードのスパイクの終了時にパフォーマンスをベースラインレベルまで低下させることができます。

エンタープライズSSD (ESSD)

カスタムパフォーマンスレベルを設定します。 ストレージ容量の大きいESSDでは、より高いPLを選択できます。 たとえば、ストレージ容量が460 GiBを超えるESSDにはPL 2を選択できます。 ストレージ容量が1,260 GiBを超えるESSDには、PL 3を選択できます。 詳細については、「容量とPL」をご参照ください。

  • データディスクのタイプを指定するときに、すべてのディスクタイプに対して [暗号化] を選択できます。 デフォルトでは、デフォルトサービスCMKがデータディスクの暗号化に使用されます。 KMSでBYOKを使用して生成された既存のCMKを使用することもできます。

  • スナップショットを使用して、コンテナイメージの高速化と大規模言語モデル (LLM) の高速読み込みが必要なシナリオでデータディスクを作成することもできます。 これにより、システムの応答速度が向上し、処理能力が向上する。

  • データディスクが各ノードの /var/lib/containerにマウントされ、/var/lib/kubeletおよび /var/lib/containerd/var/lib/containerにマウントされていることを確認します。 ノード上の他のデータディスクについては、初期化操作を実行し、マウントディレクトリをカスタマイズできます。 詳細については、「」をご参照ください。ACKノードプールのカスタムディレクトリにデータディスクをマウントできますか?

説明

最大64個のデータディスクをECSインスタンスに接続できます。 ECSインスタンスにアタッチできるディスクの最大数は、インスタンスタイプによって異なります。 特定のインスタンスタイプのECSインスタンスにアタッチできるディスクの最大数を照会するには、DescribeInstanceTypes操作を呼び出し、レスポンスのDiskQuantityパラメーターを確認します。

インスタンス設定

パラメーター

説明

予想ノード数

ノードプール内のノードの予想数。 クラスターコンポーネントが期待どおりに実行されるように、少なくとも2つのノードを設定することを推奨します。 [Expected Nodes] パラメーターを設定して、ノードプール内のノード数を調整できます。 詳細については、「ノードプールのスケーリング」をご参照ください。

ノードプールにノードを作成しない場合は、このパラメーターを0に設定します。 このパラメーターを手動で変更して、後でノードを追加できます。

高度なオプション (オプション)

[詳細オプション (オプション)] をクリックして、スケーリングポリシーを設定します。

パラメーター

説明

スケーリングポリシー

  • 優先度: システムは、ノードプールに対して選択したvSwitchの優先度に基づいてノードプールをスケーリングします。 選択したvSwitchは、優先度の高い順に表示されます。 Auto ScalingがvSwitchのゾーンで最も優先度の高いECSインスタンスの作成に失敗した場合、Auto ScalingはvSwitchのゾーンでより優先度の低いECSインスタンスの作成を試みます。

  • コスト最適化: システムは、vCPU単価に基づいて昇順でインスタンスを作成します。

    ノードプールの [課金方法][プリエンプティブルインスタンス] に設定されている場合、プリエンプティブルインスタンスは優先的に作成されます。 従量課金インスタンスの割合パラメーターを設定することもできます。 在庫不足などの理由でプリエンプティブルインスタンスを作成できない場合、従量課金インスタンスはサプリメントとして自動的に作成されます。

  • 配布バランシング: 均等配布ポリシーは、複数のvSwitchを選択した場合にのみ有効になります。 このポリシーにより、ECSインスタンスがスケーリンググループのゾーン (vSwitch) に均等に分散されます。 在庫不足などの理由でECSインスタンスがゾーン全体に不均一に分散している場合は、リバランス操作を実行できます。

予約可能なインスタンスが不足している場合、従量課金インスタンスを使用する

課金方法パラメーターをプリエンプティブインスタンスに設定する必要があります。

この機能を有効にした後、価格またはインベントリの制約により十分なプリエンプティブルインスタンスを作成できない場合、ACKは自動的に従量課金インスタンスを作成し、必要な数のECSインスタンスをに満たします。

補足プリエンプティブルインスタンスの有効化

課金方法パラメーターをプリエンプティブインスタンスに設定する必要があります。

この機能が有効になった後、プリエンプティブルインスタンスが再利用されたことを示すシステムメッセージが受信されると、自動スケーリングが有効になっているノードプールは、再利用されたプリエンプティブルインスタンスを置き換える新しいインスタンスの作成を試みます。

[詳細オプション (オプション)] をクリックして、ECSラベルやテイントなどの詳細設定を設定します。

詳細設定を表示

パラメーター

説明

ECSタグ

自動スケーリング中に自動的に追加されるECSインスタンスにタグを追加します。 タグキーは一意である必要があります。 キーの長さは128文字を超えることはできません。 キーと値はaliyunまたはacs: で始めることはできません。 キーと値には、https:// またはhttp:// は使用できません。

ECSインスタンスは最大20個のタグを持つことができます。 クォータ制限を増やすには、クォータセンターコンソールでアプリケーションを送信します。 次のタグは、ACKとAuto ScalingによってECSノードに自動的に追加されます。 したがって、最大17個のタグをECSノードに追加できます。

  • 次の2つのECSタグがACKによって追加されます。

    • ack.aliyun.com:<クラスターID>

    • ack.alibabacloud.com/nodepool-id: <ノードプールID>

  • Auto Scalingによって追加されるラベルは、acs:autoscaling:scalingGroupId:<スケーリンググループID> です。

説明
  • 自動スケーリングを有効にすると、デフォルトで次のECSタグがノードプールに追加されます: k8s.io/cluster-autoscaler:trueおよびk8s.aliyun.com:true

  • 自動スケーリングコンポーネントは、ノードのラベルとテイントに基づいてスケールアウトアクティビティをシミュレートします。 この目的を満たすために、ノードラベルの形式をk8s.io/cluster-autoscaler/node-template/label/Label key:Label valueに変更し、taintの形式をk8s.io/cluster-autoscaler/node-template /Taint key/Taint value:Taint effectに変更します。

テインツ

ノードにテイントを追加します。 taintは、keyvalue、およびeffectで構成されます。 テイントキーは、接頭辞を付けることができる。 プレフィックス付きのテイントキーを指定する場合は、プレフィックスとキーの残りのコンテンツの間にスラッシュ (/) を追加します。 詳細については、「テイントと寛容」をご参照ください。 汚染には次の制限が適用されます。

  • キー: キーの長さは1 ~ 63文字で、英数字、ハイフン (-) 、アンダースコア (_) 、ピリオド (.) を使用できます。 キーの先頭と末尾は文字または数字である必要があります。

    プレフィックスキーを指定する場合、プレフィックスはサブドメイン名でなければなりません。 サブドメイン名は、ピリオド (.) で区切られたDNSラベルで構成され、253文字を超えることはできません。 スラッシュ (/) で終わる必要があります。 サブドメイン名の詳細については、「DNSサブドメイン名」をご参照ください。

  • : 値の長さは63文字を超えることはできません。英数字、ハイフン (-) 、アンダースコア (_) 、ピリオド (.) を使用できます。 値の先頭と末尾は文字または数字である必要があります。 値を空のままにすることもできます。

  • NoScheduleNoExecutePreferNoScheduleエフェクトを指定できます。

    • NoSchedule: ノードにeffectNoScheduleのテイントがある場合、システムはノードへのポッドをスケジュールしません。

    • NoExecute: このテイントを許容しないポッドは、このテイントがノードに追加された後に削除されます。 このテイントを許容するポッドは、このテイントがノードに追加された後に追い出されません。

    • PreferNoSchedule: システムは、ポッドによって許容されないテイントを持つノードへのポッドのスケジューリングを回避しようとします。

ノードラベル

ノードにラベルを追加します。 ラベルはキーと値のペアです。 ラベルキーは、接頭辞を付けることができる。 プレフィックス付きラベルキーを指定する場合は、プレフィックスとキーの残りのコンテンツの間にスラッシュ (/) を追加します。 ラベルには次の制限が適用されます。

  • キー: 名前は1 ~ 63文字で、英数字、ハイフン (-) 、アンダースコア (_) 、ピリオド (.) を使用できます。 文字または数字で開始および終了する必要があります。

    プレフィックスラベルキーを指定する場合、プレフィックスはサブドメイン名である必要があります。 サブドメイン名は、ピリオド (.) で区切られたDNSラベルで構成され、253文字を超えることはできません。 スラッシュ (/) で終わる必要があります。

    次のプレフィックスはキーKubernetesコンポーネントで使用され、ノードラベルでは使用できません。

    • kubernetes.io/

    • k8s.io/

    • kubernetes.io/ またはk8s.io/ で終わるプレフィックス。 例: test.kubernetes.io/

      ただし、次のプレフィックスを引き続き使用できます。

      • kubelet.kubernetes.io/

      • node.kubernetes.io

      • kubelet.kubernetes.io/ で終わるプレフィックス。

      • node.kubernetes.ioで終わるプレフィックス。

  • 値: 値の長さは63文字を超えることはできません。英数字、ハイフン (-) 、アンダースコア (_) 、ピリオド (.) を使用できます。 値の先頭と末尾は文字または数字である必要があります。 値を空のままにすることもできます。

[スケジュール不可] に設定

このオプションを選択すると、クラスターに追加された新しいノードがスケジュール不可に設定されます。 ノードリストのステータスを変更できます。 この設定は、ノードプールに新しく追加されたノードに対してのみ有効です。 既存のノードでは有効になりません。

CPUポリシー

kubeletノードのCPU管理ポリシー

  • None: デフォルトのCPU管理ポリシー。

  • 静的: このポリシーでは、ノード上で特定のリソース特性を持つポッドに、強化されたCPUアフィニティと排他性を付与できます。

カスタムノード名

カスタムノード名を使用するかどうかを指定します。 カスタムノード名を使用することを選択した場合、ノードの名前、ECSインスタンスの名前、およびECSインスタンスのホスト名が変更されます。

説明

Windowsインスタンスがカスタムノード名を使用する場合、インスタンスのホスト名はIPアドレスに固定されます。 IPアドレスのピリオド (.) を置き換えるには、ハイフン (-) を使用する必要があります。 さらに、プレフィックスまたはサフィックスはIPアドレスで許可されません。

カスタムノード名は、プレフィックス、IP部分文字列、およびサフィックスで構成されます。

  • カスタムノード名は2 ~ 64文字である必要があります。 名前の最初と最後は、小文字または数字にする必要があります。

  • 接頭辞と接尾辞には、英数字、ハイフン (-) 、およびピリオド (.) を使用できます。 接頭辞と接尾辞は文字で始まる必要があり、ハイフン (-) またはピリオド (.) で終わることはできません。 接頭辞と接尾辞には、連続したハイフン (-) またはピリオド (.) を含めることはできません。

  • プレフィックスはECSの制限により必須で、サフィックスはオプションです。

たとえば、ノードIPアドレスは192.XX. YY.55、プレフィックスiはs aliyun.com、サフィックスはtestです。

  • ノードがLinuxノードの場合、ノード名、ECSインスタンス名、およびECSインスタンスのホスト名は、192.XX. YY.55testをe aliyun.comします。

  • ノードがWindowsノードの場合、ECSインスタンスのホスト名は192-XX-YY-55で、ノード名とECSインスタンス名は192.XX. YY.55testにe aliyun.comます。

ワーカーRAMロール

Kubernetes 1.22以降を実行するACKマネージドクラスターがサポートされています。

ワーカーRAMロールをノードプールに割り当てることで、クラスター内のすべてのノード間でワーカーRAMロールを共有する潜在的なリスクを軽減できます。

  • デフォルトロール: ノードプールは、クラスターによって作成されたデフォルトワーカーRAMロールを使用します。

  • カスタム: ノードプールは、指定されたロールをワーカーRAMロールとして使用します。 このパラメーターが空の場合、デフォルトのロールが使用されます。 詳細については、「カスタムワーカーRAMロールの使用」をご参照ください。

事前定義済みカスタムデータ

この機能を使用するには、Quota Centerコンソールでアプリケーションを送信します。

ノードは、クラスターに追加される前に、定義済みのスクリプトを自動的に実行します。 ユーザーデータスクリプトの詳細については、「ユーザーデータスクリプト」をご参照ください。

たとえば、echo "hello world" と入力すると、ノードは次のスクリプトを実行します。

#!/bin/bash
echo "hello world"
[Node initialization script]

ユーザーデータ

ノードは、クラスターに追加されると、ユーザーデータスクリプトを自動的に実行します。 ユーザーデータスクリプトの詳細については、「ユーザーデータスクリプト」をご参照ください。

たとえば、echo "hello world" と入力すると、ノードは次のスクリプトを実行します。

#!/bin/bash
[Node initialization script]
echo "hello world"
説明

クラスターの作成またはノードの追加後、ノードでのユーザーデータスクリプトの実行が失敗する場合があります。 ノードにログインし、grep cloud-init/var/log/messagesコマンドを実行して実行ログを表示し、ノードで実行が成功したか失敗したかを確認することを推奨します。

CloudMonitorエージェント

CloudMonitorのインストール後、CloudMonitorコンソールでノードに関するモニタリング情報を表示できます。

このパラメーターは、新しく追加されたノードでのみ有効になり、既存のノードでは有効になりません。 既存のECSノードにCloudMonitorエージェントをインストールする場合は、CloudMonitorコンソールに移動します。

パブリックIP

各ノードにIPv4アドレスを割り当てるかどうかを指定します。 チェックボックスをオフにすると、パブリックIPアドレスは割り当てられません。 チェックボックスをオンにした場合、帯域幅課金方法およびピーク帯域幅パラメーターを設定する必要があります。

このパラメーターは、新しく追加されたノードでのみ有効になり、既存のノードでは有効になりません。 既存のノードがインターネットにアクセスできるようにするには、EIPを作成し、そのEIPをノードに関連付ける必要があります。 詳細については、「EIPとECSインスタンスの関連付け」をご参照ください。

カスタムセキュリティグループ

カスタムセキュリティグループを使用するには、Quota Centerコンソールのホワイトリストへの追加を申請する必要があります。

[Basic Security Group] または [Advanced Security Group] を選択できますが、選択できるセキュリティグループの種類は1つだけです。 ノードプールのセキュリティグループを変更したり、セキュリティグループのタイプを変更したりすることはできません。 セキュリティグループの詳細については、「概要」をご参照ください。

重要
  • 各ECSインスタンスは最大5つのセキュリティグループをサポートしています。 ECSインスタンスのセキュリティグループのクォータが十分であることを確認します。 セキュリティグループの制限およびECSインスタンスのセキュリティグループのクォータ制限を増やす方法の詳細については、「セキュリティグループの制限」をご参照ください。

  • 既存のセキュリティグループを選択した場合、セキュリティグループルールは自動的に設定されません。 これにより、クラスター内のノードにアクセスするときにエラーが発生する可能性があります。 セキュリティグループルールを手動で設定する必要があります。 セキュリティグループルールを管理する方法の詳細については、「ACKクラスターにアクセス制御を適用するセキュリティグループルールの設定」をご参照ください。

RDSホワイトリスト

ApsaraDB RDSインスタンスのホワイトリストにノードIPアドレスを追加します。

プライベートプールタイプ

有効な値: [開く][使用しない] 、および [指定]

  • 開く: システムは自動的に開いているプライベートプールに一致します。 一致が見つからない場合、パブリックプール内のリソースが使用されます。

  • 使用しない: プライベートプールは使用されません。 パブリックプール内のリソースのみが使用されます。

  • 指定済み: プライベートプールをIDで指定します。 指定されたプライベートプールが利用できない場合、ECSインスタンスの起動に失敗します。

詳細については、「プライベートプール」をご参照ください。

手順4: クラスタコンポーネントの設定

[次へ: コンポーネント設定] をクリックして、クラスターコンポーネントの基本設定と詳細設定を設定します。

基本設定

パラメーター

説明

Ingress

Ingressコントローラをインストールするかどうかを指定します。 サービスを公開する場合は、Ingressコントローラーをインストールすることを推奨します。

サービスの発見

NodeLocal DNSCacheは、DNSキャッシングエージェントを実行して、DNS解決のパフォーマンスと安定性を向上させます。

ボリュームプラグイン

デフォルトでは、CSIはボリュームプラグインとしてインストールされます。 デフォルトのNASファイルシステムとCNFSを使用したボリュームの動的プロビジョニング、NASごみ箱の有効化、高速データ復元のサポートがデフォルトで選択されています。 ACKは、Alibaba Cloudディスク、ファイルストレージNAS (NAS) ファイルシステム、およびObject Storage Service (OSS) バケットをサポートしています。

モニターコンテナー

[Enable Managed Service for Prometheus] を選択すると、ACKクラスターの基本的なモニタリングおよびアラートサービスを提供できます。

コスト管理スイート

ACKクラスター、名前空間、ノードプール、およびワークロードのコストとリソース使用量を監視および分析します。 全体的なリソース利用を改善するために、コスト削減に関する提案が提供される。 詳細については、「コストインサイト」をご参照ください。

Log Service

既存のSimple Log Service (SLS) プロジェクトを選択するか、プロジェクトを作成してクラスターログを収集できます。 アプリケーションの作成時にSLSを迅速に設定する方法の詳細については、「Simple log Serviceを使用したコンテナーからのログデータの収集」をご参照ください。

  • Ingressダッシュボードの作成: SLSコンソールでIngressダッシュボードを作成し、nginx-ingress-controllerのアクセスログを収集します。 詳細については、「nginx-ingress-controllerのアクセスログの分析と監視」をご参照ください。

  • node-problem-detectorのインストールとイベントセンターの作成: SLSコンソールにイベントセンターを追加して、クラスター内のすべてのイベントをリアルタイムで収集します。 詳細については、「イベントセンターの作成と使用」をご参照ください。

アラート

アラート管理機能を有効にします。 連絡先と連絡先グループを指定できます。 デフォルトはデフォルトの連絡先グループです。

制御プレーンコンポーネントのログ収集

SLSのプロジェクトに制御プレーンコンポーネントのログを収集する方法の詳細については、「ACK管理クラスターでの制御プレーンコンポーネントのログの収集」をご参照ください。

クラスター検査

インテリジェントO&Mに対してクラスターインスペクション機能を有効にするかどうかを指定します。この機能を有効にして、クラスターのリソースクォータ、リソース使用量、コンポーネントのバージョンを定期的に確認し、クラスター内の潜在的なリスクを特定できます。

拡張設定

[詳細オプション (オプション)] を展開して、アプリケーション管理、ログとモニタリング、ストレージ、ネットワーク、セキュリティなど、インストールするコンポーネントの種類を選択します。

手順5: クラスター設定の確認

[次へ: 注文の確認] をクリックし、設定を確認し、利用規約を読んで選択し、[クラスターの作成] をクリックします。

クラスターの作成後、ACKコンソールの [クラスター] ページでクラスターを確認できます。

説明

複数のノードを含むクラスターを作成するには、約10分かかります。

課金

ACKマネージドクラスターを使用するときに発生するリソース料金の詳細については、「課金の概要」をご参照ください。

次のステップ

  • クラスターに関する基本情報の表示

    [クラスター] ページで、作成したクラスターを見つけ、[操作] 列の [詳細] をクリックします。 クラスターの詳細ページで、[基本情報] タブをクリックしてクラスターの基本情報を表示し、[接続情報] タブをクリックしてクラスターへの接続方法に関する情報を表示します。 次の情報が表示されます。

    • API Server Public Endpoint: クラスターのAPIサーバーがインターネット経由でサービスを提供するために使用するIPアドレスとポート。 クライアントでkubectlまたは他のツールを使用してクラスターを管理できます。

      ACK管理クラスターのみが、[EIPの関連付け][変更] 、および [EIPのバインド解除] 機能をサポートしています。

      • EIPの関連付け: 既存のEIPを選択するか、EIPを作成できます。

        EIPをAPIサーバーに関連付けると、APIサーバーが再起動します。 再起動プロセス中は、クラスターで操作を実行しないことをお勧めします。

      • EIPのバインド解除: EIPのバインドを解除すると、インターネット経由でAPIサーバーにアクセスできなくなります。

        APIサーバーからEIPのバインドを解除すると、APIサーバーが再起動します。 再起動プロセス中は、クラスターで操作を実行しないことをお勧めします。

    • APIサーバー内部エンドポイント: APIサーバーがクラスター内でサービスを提供するために使用するIPアドレスとポート。 IPアドレスは、クラスターに関連付けられているServer Load Balancer (SLB) インスタンスに属しています。

関連ドキュメント