リスクの高い操作に関する使用法のメモと指示

項目

関連ドキュメント

使用上の注意

• データプレーンコンポーネント

• クラスターの更新

• Kubernetes設定

• ACKサーバーレスクラスター

• クラスター登録

• アプリカタログ

ハイリスク操作

• クラスターに対する高リスク操作

• ノードプールでの高リスク操作

• 高リスクのネットワーク操作と負荷分散

• 高リスクのストレージ

• 高リスク操作のログ

カテゴリ

ハイリスク操作

影響

どのように回復する

APIサーバー

APIサーバーの公開に使用されるSLBインスタンスを削除します。

クラスターを管理することはできません。

回復不能だ 新しいクラスターを作成する必要があります。 クラスターの作成方法の詳細については、「ACK管理クラスターの作成」をご参照ください。

ワーカーノード

ノードのセキュリティグループを変更します。

ノードが利用できなくなる場合があります。

元のセキュリティグループにノードを再度追加します。 セキュリティグループは、クラスターの作成時に作成されます。 詳細については、「セキュリティグループ内のECSインスタンスの管理」をご参照ください。

ノードのサブスクリプションが期限切れになるか、ノードが削除されます。

ノードが使用できなくなります。

回復不能だ

ノードOSを再インストールします。

コンポーネントはノードからアンインストールされます。

ノードを削除してから、ノードをクラスターに再度追加します。 詳細については、「ノードの削除」および「既存のECSインスタンスのACKクラスターへの追加」をご参照ください。

コンポーネントのバージョンを更新します。

ノードが利用できなくなる場合があります。

元のコンポーネントバージョンにロールバックします。

ノードのIPアドレスを変更します。

ノードが使用できなくなります。

ノードのIPアドレスを元のIPアドレスに変更します。

kubelet、docker、containerdなどの主要コンポーネントのパラメーターを変更します。

ノードが利用できなくなる場合があります。

ACK公式ドキュメントを参照し、コンポーネントパラメータを設定します。

ノードOSの設定を変更します。

ノードが利用できなくなる場合があります。

設定を復元するか、ワーカーノードを削除してから新しいノードを購入します。

ノードのシステム時刻を変更します。

ノード上のコンポーネントが期待どおりに動作しません。

ノードのシステム時間をリセットします。

ACK専用クラスターのマスターノード

マスターノードのセキュリティグループを変更します。

マスターノードが利用できなくなる場合があります。

元のセキュリティグループにマスターノードを再度追加します。 セキュリティグループは、クラスターの作成時に作成されます。 詳細については、「セキュリティグループ内のECSインスタンスの管理」をご参照ください。

マスターノードのサブスクリプションが期限切れになるか、マスターノードが削除されます。

マスターノードが使用できなくなります。

回復不能だ

ノードOSを再インストールします。

コンポーネントはマスターノードからアンインストールされます。

回復不能だ

マスターノードまたはetcdコンポーネントを更新します。

クラスターが利用できなくなる場合があります。

元のコンポーネントバージョンにロールバックします。

/etc/kubernetesなど、ビジネスクリティカルなデータをノードに格納するディレクトリを削除またはフォーマットします。

マスターノードが使用できなくなります。

回復不能だ

マスターノードのIPアドレスを変更します。

マスターノードが使用できなくなります。

マスターノードのIPアドレスを元のIPアドレスに変更します。

etcd、kube-apiser、dockerなどの主要コンポーネントのパラメーターを変更します。

マスターノードが利用できなくなる場合があります。

ACK公式ドキュメントを参照し、コンポーネントパラメータを設定します。

マスターノードまたはetcdコンポーネントの証明書を置き換えます。

クラスターが利用できなくなる場合があります。

回復不能だ

マスターノードの数を増減します。

クラスターが利用できなくなる場合があります。

回復不能だ

ノードのシステム時刻を変更します。

ノード上のコンポーネントが期待どおりに動作しません。

ノードのシステム時間をリセットします。

その他のサービス

RAM (Resource Access Management) を使用して権限を変更します。

SLBインスタンスなどのリソースの作成に失敗する場合があります。

権限を復元します。

ハイリスク操作

影響

どのように回復する

スケーリンググループを削除します。

ノードプール例外が発生します。

回復不能だ 新しいノードプールを作成する必要があります。 ノードプールの作成方法の詳細については、「手順」をご参照ください。

kubectlを使用して、ノードプールからノードを削除します。

ACKコンソールに表示されるノードプール内のノード数は、実際の数とは異なります。

ACK APIを呼び出すか、ノードプールのExpected nodesパラメーターを設定して、ACKコンソールでノードを削除します。 詳細については、「ノードの削除」および「ノードプールの作成」をご参照ください。

ECSインスタンスを手動でリリースします。

ノードプールの詳細ページに誤った情報が表示されることがあります。 ノードプールは、ノードプールの作成時にExpected Nodesパラメーターで設定されます。 ECSインスタンスをリリースすると、ACKは自動的にノードプールをExpected Nodesパラメーターの値にスケールアウトします。

回復不能だ ノードプール内のECSインスタンスをリリースするには、ACKコンソールで、またはACK APIを呼び出して、ノードプールのExpected Nodesパラメーターを設定します。 ECSインスタンスにデプロイされているノードを削除することもできます。 詳細については、「ノードプールの作成」および「ノードの削除」をご参照ください。

自動スケーリングが有効になっているノードプールを手動でスケールインまたはスケールアウトします。

自動スケーリングコンポーネントは、ノードプールを手動でスケールインまたはスケールアウトした後、ノードプール内のノード数を自動的に調整します。

回復不能だ 自動スケーリングが有効になっているノードプールを手動でスケーリングする必要はありません。

スケーリンググループに含めることができるインスタンスの上限または下限を変更します。

スケーリングエラーが発生する可能性があります。

• 自動スケーリングが無効になっているノードプールの場合、スケーリンググループのインスタンスのデフォルトの上限は2,000、インスタンスのデフォルトの下限は0です。

• 自動スケーリングが有効になっているノードプールの場合、スケーリンググループのインスタンスの上限と下限が、ノードプールのインスタンスの上限と下限と同じであることを確認します。

ノードのデータをバックアップせずに、既存のノードをクラスターに追加します。

ノードがクラスターに追加されると、ノード上のデータが失われます。

回復不能だ

• 手動モードで既存のノードを追加する場合は、まずノードのデータをバックアップする必要があります。

• 自動モードで既存のノードを追加する場合は、ノードがクラスターに追加されるとシステムディスクが置き換えられるため、最初にシステムディスク上のデータをバックアップする必要があります。

業務上重要なデータをシステムディスクに保存します。

ノードプールの自動修復を有効にすると、システムはノード設定をリセットしてノード例外を処理することがあります。 その結果、システムディスク上のデータが失われます。

回復不能だ ビジネスクリティカルなデータをデータディスク、クラウドディスク、Apsara File Storage NAS (NAS) ファイルシステム、またはObject Storage Service (OSS) バケットに保存します。

ハイリスク操作

影響

どのように回復する

カーネルパラメーター設定net.ipv4.ip_forward=0を指定します。

ネットワーク接続の問題が発生します。

設定をnet.ipv4.ip_forward=1の内容に置き換えます。

次のカーネルパラメーター設定を指定します。

• net.ipv4.conf.all.rp_filter = 1 | 2

• net.ipv4.conf.[ethX].rp_filter = 1 | 2

  説明

  ethXは、名前がethで始まるネットワークインターフェイスコントローラーを指定します。

ネットワーク接続の問題が発生します。

設定を次の内容に置き換えます。

• net.ipv4.conf.all.rp_filter = 0

• net.ipv4.conf.[ethX].rp_filter = 0

カーネルパラメーター設定net.ipv4.tcp_tw_reuse = 1を指定します。

ポッドはヘルスチェックに合格しません。

設定を次のcontent: net.ipv4.tcp_tw_reuse = 0に置き換えます。

カーネルパラメーター設定net.ipv4.tcp_tw_recycle = 1を指定します。

ネットワークアドレス変換エラーが発生します。

設定をnet.ipv4.tcp_tw_recycle = 0の内容に置き換えます。

カーネルパラメーター設定net.ipv4.ip_local_port_rangeを指定します。

ネットワーク接続の問題が時折発生します。

設定を次の内容に置き換えます。net.ipv4.ip_local_port_range="32768 60999"

Firewalldやufwなどのファイアウォールソフトウェアをインストールします。

コンテナネットワークにアクセスできなくなります。

ファイアウォールソフトウェアをアンインストールし, ノードを再起動してください。

ノードのセキュリティグループが、ポッドCIDRブロックのUDPポート53を開いていません。

DNSはクラスターで期待どおりに機能しません。

ECSの公式ドキュメントを参照し、セキュリティグループの設定を変更して、ポッドCIDRブロックのUDPポート53を開きます。

ACKがSLBインスタンスに追加したタグを変更または削除します。

SLBインスタンスは通常どおり動作しません。

タグを復元します。

インスタンス、リスナー、vServerグループの設定など、ACKで管理されるSLBインスタンスの設定を変更します。

SLBインスタンスは通常どおり動作しません。

SLB設定を復元します。

サービス設定から既存のSLBインスタンスを指定するために使用されるservice.beta.kubernetes.io/alibaba-cloud-loadbalancer-id: ${YOUR_LB_ID} アノテーションを削除します。

SLBインスタンスは通常どおり動作しません。

アノテーションをサービス構成に追加します。

SLBコンソールでACKによって作成されたSLBインスタンスを削除します。

クラスタネットワークでエラーが発生する可能性があります。

SLBインスタンスに関連付けられているサービスを削除して、SLBインスタンスを削除します。 サービスを削除する方法の詳細については、「サービスの削除」をご参照ください。

nginx ingressコントローラーがインストールされているクラスターのkube-system名前空間のNGINX-Ingress-lbサービスを手動で削除します。

NGINX Ingressコントローラーは通常どおり実行されないか、実行を停止する場合があります。

次のYAMLテンプレートを使用して、同じ名前のサービスを作成します。

apiVersion: v1
kind: Service
metadata:
  annotations:
  labels:
    app: nginx-ingress-lb
  name: nginx-ingress-lb
  namespace: kube-system
spec:
  externalTrafficPolicy: Local
  ports:
  - name: http
    port: 80
    protocol: TCP
    targetPort: 80
  - name: https
    port: 443
    protocol: TCP
    targetPort: 443
  selector:
    app: ingress-nginx
  type: LoadBalancer

ECSノードのDNS設定ファイルでnameserverパラメーターを設定します。 DNS設定ファイルの名前は /etc/resolv.confです。

DNSサーバーが正しく設定されていない場合、DNS解決は失敗する可能性があります。 その結果、クラスターは期待どおりに実行できません。

自己管理DNSサーバーを使用する場合は、CoreDNSでDNSサーバーを設定することを推奨します。 詳細については、「CoreDNSの設定」をご参照ください。

ハイリスク操作

影響

どのように回復する

ECSコンソールのポッドにマウントされているクラウドディスクのマウントを解除します。

ポッドにデータを書き込むときにI/Oエラーが発生します。

ポッドを再起動し、ノードの残留データを消去します。

ノードのマウントパスからディスクをアンマウントします。

ポッドデータは、ローカルディスクに書き込まれる。

ポッドを再起動します。

ノード上のクラウドディスクを管理します。

ポッドデータは、ローカルディスクに書き込まれる。

回復不能だ

クラウドディスクを複数のポッドにマウントします。

ポッドデータがローカルディスクに書き込まれるか、ポッドにデータを書き込むときにI/Oエラーが発生します。

クラウドディスクを1つのポッドにのみマウントします。

ポッドにマウントされているNASディレクトリを手動で削除します。

ポッドにデータを書き込むときにI/Oエラーが発生します。

ポッドを再起動します。

ポッドにマウントされているNASファイルシステムを削除するか、NASファイルシステムのマウントに使用されているマウントターゲットを削除します。

ポッドにデータを書き込むときにI/Oハングが発生します。

ECSインスタンスを再起動します。 ECSインスタンスを再起動する方法の詳細については、「インスタンスの再起動」をご参照ください。

ハイリスク操作

影響

どのように回復する

ノード上の /tmp/ccs-log-collector/posディレクトリを削除します。

重複したログが収集されます。

回復不能だ /tmp/ccs-log-collector/posディレクトリには、ログが収集されるパスに関する情報が含まれています。

ノード上の /tmp/ccs-log-collector/bufferディレクトリを削除します。

ログが失われます。

回復不能だ /tmp/ccs-log-collector/bufferディレクトリには、使用する必要のあるキャッシュされたログファイルが格納されます。

aliyunlogconfig CustomResourceDefinition (CRD) オブジェクトを削除します。

ログを収集できません。

削除されたaliyunlogconfig CRDオブジェクトと関連するリソースを再作成します。 aliyunlogconfig CRDオブジェクトが存在しない期間内に生成されたログは収集できません。

aliyunlogconfig CRDオブジェクトを削除すると、関連するログ収集タスクも削除されます。 aliyunlogconfig CRDオブジェクトを再作成した後、ログ収集タスクも再起動する必要があります。

ログコンポーネントをアンインストールします。

ログを収集できません。

ログコンポーネントを再インストールし、手動でaliyunlogconfig CRDオブジェクトを作成します。 ログコンポーネントとaliyunlogconfig CRDオブジェクトが存在しない期間内に生成されたログは収集できません。

ログコンポーネントを削除すると、aliyunlogconfig CRDオブジェクトとLogtailも削除されます。 ログコンポーネントが存在しない期間内に生成されたログは収集できません。