AMS SSP を使用して AMS アカウントの AWS Fargate で Amazon EKS をプロビジョニングする - AMS Advanced ユーザーガイド
AWS Managed Services AWS Fargate の「Amazon EKS on」に関するよくある質問

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS SSP を使用して AMS アカウントの AWS Fargate で Amazon EKS をプロビジョニングする

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウント内の AWS Fargate 機能で Amazon EKS に直接アクセスします。 AWS Fargate は、コンテナに適したサイズのコンピューティングキャパシティをオンデマンドで提供するテクノロジーです (コンテナを理解するには、「コンテナとは」を参照してください)。を使用すると AWS Fargate、コンテナを実行するために仮想マシンのグループをプロビジョニング、設定、またはスケールする必要がなくなります。これにより、サーバータイプの選択、ノードグループをスケールするタイミングの決定、クラスターのパッキングの最適化を行う必要がなくなります。

Amazon Elastic Kubernetes Service (Amazon EKS) は、Kubernetes が提供するアップストリームの拡張可能なモデル AWS Fargate を使用して構築されたコントローラー AWS を使用して、Kubernetes を と統合します。これらのコントローラーは、Amazon EKS が管理する Kubernetes コントロールプレーンの一部として実行され、ネイティブ Kubernetes ポッドを Fargate にスケジューリングします。Fargate コントローラーには、いくつかの変更と検証アドミッションコントローラーに加えて、デフォルトの Kubernetes スケジューラーとともに実行される新しいスケジューラが含まれています。Fargate で実行する条件を満たすポッドを起動すると、クラスターで実行されている Fargate コントローラーはポッドを認識し、更新し、Fargate にスケジューリングします。

詳細については、「Amazon EKS on AWS Fargate Now generally Available」および「Amazon EKS Best Practices Guide for Security」(「Review and revoke unnecessary anonymous access」などの「Recommendations」を含む) を参照してください。

ヒント

AMS には、Amazon EKS で使用できる変更タイプである Deployment | Advanced stack components | Identity and Access Managment (IAM) | Create OpenID Connect provider (ct-30ecvfi3tq4k3) があります。例については、「Identity and Access Management (IAM) | Create OpenID Connect Provider」を参照してください。

AWS Managed Services AWS Fargate の「Amazon EKS on」に関するよくある質問

Q: AMS アカウントの Fargate で Amazon EKS へのアクセスをリクエストするにはどうすればよいですか?

Management | AWS service | Self-provisioned service | Add (review required) (ct-3qe6io8t6jtny) 変更タイプを送信してアクセスをリクエストします。この RFC は、次の IAM ロールをアカウントにプロビジョニングします。

  • customer_eks_fargate_console_role.

    アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

  • これらのサービスロールは、ユーザーに代わって他の AWS サービスを呼び出すアクセス許可を Amazon EKS on Fargate に付与します。

    • customer_eks_pod_execution_role

    • customer_eks_cluster_service_role

Q: AMS アカウントで Fargate で Amazon EKS を使用することにはどのような制限がありますか?

  • マネージド EC2 ノードグループまたはセルフマネージド EC2 ノードグループの作成は、AMS ではサポートされていません。 EC2 EC2 ワーカーノードを使用する必要がある場合は、AMS Cloud Service Delivery Manager (CSDM) または Cloud Architect (CA) にお問い合わせください。

  • AMS には、Trend Micro またはコンテナイメージ用に事前設定されたネットワークセキュリティコンポーネントは含まれません。デプロイ前に悪意のあるコンテナイメージを検出するために、独自のイメージスキャンサービスを管理する必要があります。

  • CloudFormation の相互依存関係のため、EKSCTL はサポートされていません。

  • クラスターの作成中に、クラスターコントロールプレーンのログ記録を無効にするアクセス許可があります。詳細については、「Amazon EKS コントロールプレーンのログ記録」を参照してください。クラスターの作成時に、すべての重要な API、認証、監査ログを有効にすることをお勧めします。

  • クラスターの作成中、Amazon EKS クラスターのクラスターエンドポイントアクセスはデフォルトでパブリックになります。詳細については、「Amazon EKS クラスターエンドポイントアクセスコントロール」を参照してください。Amazon EKS エンドポイントはプライベートに設定することをお勧めします。パブリックアクセスにエンドポイントが必要な場合は、特定の CIDR 範囲に対してのみパブリックに設定することをお勧めします。

  • AMS には、Amazon EKS Fargate 上のコンテナへのデプロイに使用されるイメージを強制および制限する方法はありません。Amazon ECR、Docker Hub、またはその他のプライベートイメージリポジトリからイメージをデプロイできます。したがって、アカウントで悪意のあるアクティビティを実行する可能性のあるパブリックイメージをデプロイするリスクがあります。

  • Cloud Development Kit (CDK) または CloudFormation Ingest を使用した EKS クラスターのデプロイは、AMS ではサポートされていません。

  • ct-3pc215bnwb6p7 Deployment | Advanced stack components | Security group | Create and reference in the manifest file for Ingress creation を使用して、必要なセキュリティグループを作成する必要があります。これは、ロールにセキュリティグループを作成する権限customer-eks-alb-ingress-controller-roleがないためです。

Q: AMS アカウントで Fargate で Amazon EKS を使用するための前提条件または依存関係は何ですか?

サービスを使用するには、次の依存関係を設定する必要があります。

  • サービスに対して認証するには、KUBECTL と aws-iam-authenticator の両方をインストールする必要があります。詳細については、「クラスター認証の管理」を参照してください。

  • Kubernetes は「サービスアカウント」と呼ばれる概念に依存しています。EKS 上の kubernetes クラスター内でサービスアカウント機能を利用するには、次の入力を使用して管理 | その他 | その他 | RFC を更新する必要があります。

  • Config ルールを設定してモニタリングすることをお勧めします。

    • パブリッククラスターエンドポイント

    • 無効化された API ログ記録

    これらの Config ルールをモニタリングして修正するのはユーザーの責任です。

ALB Ingress Controller をデプロイする場合は、管理 | その他 | その他の更新 RFC を送信して、ALB Ingress Controller ポッドで使用するために必要な IAM ロールをプロビジョニングします。ALB Ingress Controller (RFC にこれらを含める) に関連付ける IAM リソースを作成するには、次の入力が必要です。

  • 〔必須] Amazon EKS クラスター名

  • 〔オプション] OpenID Connect プロバイダー URL

  • 〔オプション] Application Load Balancer (ALB) Ingress Controller サービスをデプロイする Amazon EKS クラスター名前空間。〔デフォルト: kube-system]

  • 〔オプション] Amazon EKS クラスターサービスアカウント (SA) 名。〔デフォルト: aws-load-balancer-controller]

クラスターでエンベロープシークレットの暗号化を有効にする場合は (推奨)、使用する KMS キー IDs を RFC の説明フィールドに入力してサービスを追加します (Management | AWS service | Self-provisioned service | Add (ct-1w8z66n899dct)。エンベロープ暗号化の詳細については、「Amazon EKS adds envelope encryption for secrets with AWS KMS」を参照してください。