概要前提条件と制限事項アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース

Amazon EKS コンテナから Amazon Neptune データベースにアクセスする

Amazon Web Services、Ramakrishnan Palaninathan

概要

本パターンは、フルマネージド型のグラフデータベースである Amazon Neptune と、コンテナオーケストレーションサービスである Amazon Elastic Kubernetes Service (Amazon EKS) との間の接続を確立して Neptune データベースにアクセスします。Neptune DB クラスターは、AWS の仮想プライベートクラウド (VPC) 内に制限されています。そのため、Neptune にアクセスするには、接続を有効にするために VPC を注意して設定する必要があります。

Neptune は、Amazon Relational Database Service (Amazon RDS) for PostgreSQL とは異なり一般的なデータベースアクセス認証情報に依存しません。代わりに、認証に AWS Identity and Access Management (IAM) ロールを使用します。したがって、Amazon EKS から Neptune に接続するには、Neptune へのアクセスに必要なアクセス許可を持つ、IAM ロールの設定が必要になります。

さらに、Neptune エンドポイントには、クラスターが存在する VPC 内のみでアクセスできます。つまり、Amazon EKS と Neptune の間の通信が容易になるようにネットワーク設定を構成する必要があります。Neptune と Amazon EKS 間のシームレスな接続を可能にするには、特定の要件とネットワーク設定に応じてさまざまな方法で VPC を設定します。それぞれの方法には個別の利点と考慮事項があり、アプリケーションのニーズに合ったデータベースアーキテクチャを柔軟に設計できます。

前提条件と制限事項

前提条件

最新バージョンの kubectl をインストールします (手順を参照)。バージョンを確認するには次を実行します。
```
kubectl version --short
```
最新バージョンの eksctl をインストールします (手順を参照)。バージョンを確認するには次を実行します。
```
eksctl info
```
AWS Command Line Interface (AWS CLI) バージョン 2 の最新バージョンをインストールします (手順を参照)。バージョンを確認するには次を実行します。
```
aws --version
```
Neptune DB クラスターを作成します (手順を参照)。VPC ピアリング、AWS Transit Gateway、またはその他の方法を使用して、クラスターの VPC と Amazon EKS 間の通信を確立します。また、クラスターのステータスが「使用可能」であり、セキュリティグループのポート 8182 にインバウンドルールがあることを確認します。
既存の Amazon EKS クラスターで IAM OpenID Connect (OIDC) プロバイダーを設定します (手順を参照)。

製品バージョン

アーキテクチャ

次の図は、Neptune データベースへのアクセスを可能にする、Amazon EKS クラスター内の Kubernetes ポッドと Neptune との間の接続を示しています。

Kubernetes ノードのポッドを Amazon Neptune に接続します。

自動化とスケール

Amazon EKS Horizontal Pod Autoscaler を使用することでこのソリューションをスケールできます。

ツール

サービス

Amazon Elastic Kubernetes Service (Amazon EKS) は、AWS で Kubernetes を実行する際に役立ちます。独自の Kubernetes コントロールプレーンまたはノードをインストールおよび維持する必要はありません。
「AWS Identity and Access Management (IAM)」では、リソースの使用を認証、許可されるユーザーを制御することで、AWS リソースへのアクセスを安全に管理できます。
Amazon Neptune は、複雑に接続されたデータセットを扱うアプリケーションを構築して実行するために使用できるマネージドグラフデータベースサービスです。

ベストプラクティス

ベストプラクティスについては、「Amazon EKS ベストプラクティスガイド」の「アイデンティティとアクセス管理」を参照してください。

エピック

タスク説明必要なスキル

タスク	説明	必要なスキル
クラスターコンテキストを検証する。	Helm またはその他のコマンドラインツールを使用して Amazon EKS クラスターを操作するときは、事前にクラスターの詳細をカプセル化する環境変数を定義する必要があります。これらの変数は、正しいクラスターとリソースをターゲットにするために、後続のコマンドで使用されます。まず、正しいクラスターコンテキスト内で動作していることを確認します。これにより、後続のコマンドが目的の Kubernetes クラスターに送信されます。現在のコンテキストを確認するには、次のコマンドを実行します。 `kubectl config current-context`	AWS 管理者、クラウド管理者
`CLUSTER_NAME` 変数を定義します。	Amazon EKS クラスターの `CLUSTER_NAME` 環境変数を定義します。次のコマンドで、サンプル値 `us-west-2` をクラスターに適した AWS リージョン値に置き換えます。サンプル値 `eks-workshop` を既存のクラスターの名前に置き換えます。 `export CLUSTER_NAME=$(aws eks describe-cluster --region us-west-2 --name eks-workshop --query "cluster.name" --output text)`	AWS 管理者、クラウド管理者
出力を検証します。	変数が正しく設定されていることを確認するには、次のコマンドを実行します。 `echo $CLUSTER_NAME` このコマンドの出力が、前のステップで指定した入力と一致することを確認します。	AWS 管理者、クラウド管理者

クラスターコンテキストを検証する。

Helm またはその他のコマンドラインツールを使用して Amazon EKS クラスターを操作するときは、事前にクラスターの詳細をカプセル化する環境変数を定義する必要があります。これらの変数は、正しいクラスターとリソースをターゲットにするために、後続のコマンドで使用されます。

まず、正しいクラスターコンテキスト内で動作していることを確認します。これにより、後続のコマンドが目的の Kubernetes クラスターに送信されます。現在のコンテキストを確認するには、次のコマンドを実行します。


kubectl config current-context

AWS 管理者、クラウド管理者

CLUSTER_NAME 変数を定義します。

Amazon EKS クラスターの CLUSTER_NAME 環境変数を定義します。次のコマンドで、サンプル値 us-west-2 をクラスターに適した AWS リージョン値に置き換えます。サンプル値 eks-workshop を既存のクラスターの名前に置き換えます。


export CLUSTER_NAME=$(aws eks describe-cluster --region us-west-2 --name eks-workshop --query "cluster.name" --output text)

AWS 管理者、クラウド管理者

出力を検証します。

変数が正しく設定されていることを確認するには、次のコマンドを実行します。


echo $CLUSTER_NAME

このコマンドの出力が、前のステップで指定した入力と一致することを確認します。

AWS 管理者、クラウド管理者

タスク説明必要なスキル

タスク	説明	必要なスキル
サービスアカウントを作成します。	サービスアカウントの IAM ロールを使用して、Kubernetes サービスアカウントを IAM ロールにマッピングし、Amazon EKS で実行されるアプリケーションのきめ細かなアクセス許可管理を有効にします。eksctl を使用すると、IAM ロールを作成して、Amazon EKS クラスター内の特定の Kubernetes サービスアカウントに関連付けることができます。AWS マネージドポリシー `NeptuneFullAccess` は、指定した Neptune クラスターへの書き込みおよび読み取りアクセスを許可します。重要これらのコマンドを実行するときは、先に、クラスターに OIDC エンドポイントが関連付けられている必要があります。 `NeptuneFullAccess` という名前の AWS マネージドポリシーに関連付けるサービスアカウントを作成します。 `eksctl create iamserviceaccount --name eks-neptune-sa --namespace default --cluster $CLUSTER_NAME --attach-policy-arn arn:aws:iam::aws:policy/NeptuneFullAccess --approve --override-existing-serviceaccounts` `eks-neptune-sa` は作成するサービスアカウントの名前です。完了すると、このコマンドは次のレスポンスを表示します。 `2024-02-07 01:12:39 [ℹ] created serviceaccount "default/eks-neptune-sa"`	AWS 管理者、クラウド管理者
アカウントが正しく設定されていることを確認します。	`eks-neptune-sa` サービスアカウントがクラスターのデフォルトの名前空間で正しく設定されていることを確認します。 `kubectl get sa eks-neptune-sa -o yaml` 出力は次のようになります: `apiVersion: v1 kind: ServiceAccount metadata: annotations: eks.amazonaws.com/role-arn: arn:aws:iam::123456789123:role/eksctl-eks-workshop-addon-iamserviceaccount-d-Role1-Q35yKgdQOlmM creationTimestamp: "2024-02-07T01:12:39Z" labels: app.kubernetes.io/managed-by: eksctl name: eks-neptune-sa namespace: default resourceVersion: "5174750" uid: cd6ba2f7-a0f5-40e1-a6f4-4081e0042316`	AWS 管理者、クラウド管理者
接続を確認する。	`pod-util` というサンプルポッドをデプロイし、Neptune との接続を確認します。 `apiVersion: v1 kind: Pod metadata: name: pod-util namespace: default spec: serviceAccountName: eks-neptune-sa containers: - name: pod-util image: public.ecr.aws/patrickc/troubleshoot-util command: - sleep - "3600" imagePullPolicy: IfNotPresent` `kubectl apply -f pod-util.yaml` `kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1# curl -X POST -d '{"gremlin":"g.V().limit(1)"}' https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/gremlin {"requestId":"a4964f2d-12b1-4ed3-8a14-eff511431a0e","status":{"message":"","code":200,"attributes":{"@type":"g:Map","@value":[]}},"result":{"data":{"@type":"g:List","@value":[]},"meta":{"@type":"g:Map","@value":[]}}} bash-5.1# exit exit`	AWS 管理者、クラウド管理者

サービスアカウントを作成します。

サービスアカウントの IAM ロールを使用して、Kubernetes サービスアカウントを IAM ロールにマッピングし、Amazon EKS で実行されるアプリケーションのきめ細かなアクセス許可管理を有効にします。eksctl を使用すると、IAM ロールを作成して、Amazon EKS クラスター内の特定の Kubernetes サービスアカウントに関連付けることができます。AWS マネージドポリシー NeptuneFullAccess は、指定した Neptune クラスターへの書き込みおよび読み取りアクセスを許可します。

重要

これらのコマンドを実行するときは、先に、クラスターに OIDC エンドポイントが関連付けられている必要があります。

NeptuneFullAccess という名前の AWS マネージドポリシーに関連付けるサービスアカウントを作成します。


eksctl create iamserviceaccount --name eks-neptune-sa --namespace default --cluster $CLUSTER_NAME --attach-policy-arn arn:aws:iam::aws:policy/NeptuneFullAccess --approve --override-existing-serviceaccounts

eks-neptune-sa は作成するサービスアカウントの名前です。

完了すると、このコマンドは次のレスポンスを表示します。


2024-02-07 01:12:39 [ℹ] created serviceaccount "default/eks-neptune-sa"

AWS 管理者、クラウド管理者

アカウントが正しく設定されていることを確認します。

eks-neptune-sa サービスアカウントがクラスターのデフォルトの名前空間で正しく設定されていることを確認します。


kubectl get sa eks-neptune-sa -o yaml

出力は次のようになります:


apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::123456789123:role/eksctl-eks-workshop-addon-iamserviceaccount-d-Role1-Q35yKgdQOlmM
  creationTimestamp: "2024-02-07T01:12:39Z"
  labels:
    app.kubernetes.io/managed-by: eksctl
  name: eks-neptune-sa
  namespace: default
  resourceVersion: "5174750"
  uid: cd6ba2f7-a0f5-40e1-a6f4-4081e0042316

AWS 管理者、クラウド管理者

接続を確認する。

pod-util というサンプルポッドをデプロイし、Neptune との接続を確認します。


apiVersion: v1
kind: Pod
metadata:
  name: pod-util
  namespace: default
spec:
  serviceAccountName: eks-neptune-sa
  containers:
  - name: pod-util
    image: public.ecr.aws/patrickc/troubleshoot-util
    command:
      - sleep
      - "3600"
    imagePullPolicy: IfNotPresent


kubectl apply -f pod-util.yaml


kubectl exec --stdin --tty pod-util -- /bin/bash
bash-5.1# curl -X POST -d '{"gremlin":"g.V().limit(1)"}' https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/gremlin
{"requestId":"a4964f2d-12b1-4ed3-8a14-eff511431a0e","status":{"message":"","code":200,"attributes":{"@type":"g:Map","@value":[]}},"result":{"data":{"@type":"g:List","@value":[]},"meta":{"@type":"g:Map","@value":[]}}}
bash-5.1# exit
exit

AWS 管理者、クラウド管理者

タスク説明必要なスキル

タスク	説明	必要なスキル
IAM データベース認証を有効にする	デフォルトでは、Neptune DB クラスターの作成時、IAM データベース認証は無効になっています。AWS マネジメントコンソールを使用して、IAM データベース認証を有効にするか、無効にすることができます AWS ドキュメントの手順に従って、Neptune で IAM データベース認証を有効にします。	AWS 管理者、クラウド管理者
接続を検証します。	このステップでは、既に実行中のステータスにある `pod-util` コンテナを操作して、awscurlをインストールし、接続を検証します。以下のコマンドを実行して、ポッドを見つけます。 `kubectl get pods` 出力は次のようになります: `NAME READY STATUS RESTARTS AGE pod-util 1/1 Running 0 50m` 次のコマンドを実行して awscurl をインストールします。 kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1#pip3 install awscurl Installing collected packages: idna, configparser, configargparse, charset-normalizer, certifi, requests, awscurl Successfully installed awscurl-0.32 certifi-2024.2.2 charset-normalizer-3.3.2 configargparse-1.7 configparser-6.0.0 idna-3.6 requests-2.31.0 bash-5.1# awscurl https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/status --region us-west-2 --service neptune-db {"status":"healthy","startTime":"Thu Feb 08 01:22:14 UTC 2024","dbEngineVersion":"1.3.0.0.R1","role":"writer","dfeQueryEngine":"viaQueryHint","gremlin":{"version":"tinkerpop-3.6.4"},"sparql":{"version":"sparql-1.1"},"opencypher":{"version":"Neptune-9.0.20190305-1.0"},"labMode":{"ObjectIndex":"disabled","ReadWriteConflictDetection":"enabled"},"features":{"SlowQueryLogs":"disabled","ResultCache":{"status":"disabled"},"IAMAuthentication":"enabled","Streams":"disabled","AuditLog":"disabled"},"settings":{"clusterQueryTimeoutInMs":"120000","SlowQueryLogsThreshold":"5000"}}	AWS 管理者、クラウド管理者

IAM データベース認証を有効にする

デフォルトでは、Neptune DB クラスターの作成時、IAM データベース認証は無効になっています。AWS マネジメントコンソールを使用して、IAM データベース認証を有効にするか、無効にすることができます

AWS ドキュメントの手順に従って、Neptune で IAM データベース認証を有効にします。

AWS 管理者、クラウド管理者

接続を検証します。

このステップでは、既に実行中のステータスにある pod-util コンテナを操作して、awscurlをインストールし、接続を検証します。

以下のコマンドを実行して、ポッドを見つけます。
```
kubectl get pods
```
出力は次のようになります:
```
NAME READY STATUS RESTARTS AGE
pod-util 1/1 Running 0 50m
```

次のコマンドを実行して awscurl をインストールします。


kubectl exec --stdin --tty pod-util -- /bin/bash bash-5.1#pip3 install awscurl Installing collected packages: idna, configparser, configargparse, charset-normalizer, certifi, requests, awscurl Successfully installed awscurl-0.32 certifi-2024.2.2 charset-normalizer-3.3.2 configargparse-1.7 configparser-6.0.0 idna-3.6 requests-2.31.0 bash-5.1# awscurl https://db-neptune-1.cluster-xxxxxxxxxxxx.us-west-2.neptune.amazonaws.com:8182/status --region us-west-2 --service neptune-db {"status":"healthy","startTime":"Thu Feb 08 01:22:14 UTC 2024","dbEngineVersion":"1.3.0.0.R1","role":"writer","dfeQueryEngine":"viaQueryHint","gremlin":{"version":"tinkerpop-3.6.4"},"sparql":{"version":"sparql-1.1"},"opencypher":{"version":"Neptune-9.0.20190305-1.0"},"labMode":{"ObjectIndex":"disabled","ReadWriteConflictDetection":"enabled"},"features":{"SlowQueryLogs":"disabled","ResultCache":{"status":"disabled"},"IAMAuthentication":"enabled","Streams":"disabled","AuditLog":"disabled"},"settings":{"clusterQueryTimeoutInMs":"120000","SlowQueryLogsThreshold":"5000"}}

AWS 管理者、クラウド管理者

トラブルシューティング

問題	ソリューション
Neptune データベースにアクセスできない。	サービスアカウントにアタッチされている IAM ポリシーを確認します。実行する操作に必要なアクション (`neptune:Connec,neptune:DescribeDBInstances` など) が許可されていることを確認します。