すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:ECS インスタンスメタデータへのアクセスを拡張モードのみに制限

    ドキュメントセンター

    Container Service for Kubernetes:ECS インスタンスメタデータへのアクセスを拡張モードのみに制限

    最終更新日:Nov 09, 2025

    Elastic Compute Service (ECS) メタデータ (インスタンス ID、VPC 情報、ネットワークインターフェイスカード (NIC) 情報など) は、メタデータサービスを使用して ECS インスタンス内から取得できます。デフォルトでは、ACK クラスター内のノードは、通常モードと拡張モードの両方でインスタンスメタデータにアクセスできます。拡張モードのみ (IMDSv2) に切り替えることで、インスタンスメタデータサービスのセキュリティを向上させることができます。

    拡張モードのみに切り替えると、ノード上のアプリケーションは通常モードで ECS インスタンスメタデータサービスにアクセスできなくなります。ECS インスタンスメタデータアクセスモードの詳細については、「インスタンスメタデータ」をご参照ください。

    前提条件

    • バージョン 1.28 以降を実行する ACK マネージドクラスター または 専用クラスター。クラスターをアップグレードするには、詳細については、「クラスターを手動でアップグレードする」をご参照ください。

    • 次の表のコンポーネントがクラスターにインストールされている場合は、それらのバージョンとクラスターバージョンが拡張モードのみの最小要件を満たしていることを確認してください。

      展開

      ACK マネージドクラスター

      コンポーネント名

      最小コンポーネントバージョン

      最小クラスターバージョン

      cloud-controller-manager

      v2.11.3

      1.28

      terway

      v1.9.16

      1.30

      terway-eni

      v1.9.16

      1.30

      terway-eniip

      v1.9.16

      1.30

      terway-eniip

      v1.14.0

      1.31

      terway-controlplane

      v1.9.16

      1.30

      terway-controlplane

      v1.14.0

      1.31

      ack-erdma-controller

      0.2.6

      1.28

      mse-ingress-controller

      1.1.18

      1.28

      alb-ingress-controller

      v2.18.0-aliyun.1

      1.28

      csi-provisioner

      v1.33.3-884df97-aliyun

      1.28

      csi-plugin

      v1.33.3-884df97-aliyun

      1.28

      storage-operator

      v1.32.10

      1.28

      flexvolume

      サポートされているバージョンはありません。csi-plugin に移行してください。詳細については、「FlexVolume から CSI への移行」をご参照ください。

      kritis-validation-hook

      v0.12.0.0-g1535b25b-aliyun

      1.28

      aliyun-acr-credential-helper

      v25.07.21.1-67f1f51-aliyun

      1.28

      logtail-ds

      v2.1.14.0-aliyun

      1.28

      loongcollector

      3.1.1

      1.28

      metrics-server

      v0.3.9.7-85b3699-aliyun

      1.28

      alicloud-monitor-controller

      v1.8.4

      1.28

      ack-node-problem-detector

      1.2.26

      1.28

      arms-prometheus

      1.1.32

      1.28

      ack-cost-exporter

      1.0.18

      1.28

      ack-sysom-monitor

      1.1.2

      1.28

      arms-cmonitor

      4.1.2

      1.28

      ack-onepilot

      5.0.0

      1.28

      cluster-autoscaler

      v1.3.18-48f43128-aliyun

      1.28

      ack-goatscaler

      v0.4.5-17c5a32-aliyun

      1.28

      migrate-controller

      v1.8.6-17482bb-aliyun

      1.28

      ack-acr-acceleration-p2p

      0.3.10

      1.28

      csi-secrets-store-provider-alibabacloud

      0.5.0

      1.28

      ack-secret-manager

      0.5.12

      1.28

      ack-extend-network-controller

      v0.12.0

      1.28

      専用クラスター

      コンポーネント名

      最小コンポーネントバージョン

      最小クラスターバージョン

      cloud-controller-manager

      v2.11.3

      1.28

      terway

      v1.9.16

      1.30

      terway-eni

      v1.9.16

      1.30

      terway-eniip

      v1.9.16

      1.30

      terway-eniip

      v1.14.0

      1.31

      terway-controlplane

      v1.9.16

      1.30

      terway-controlplane

      v1.14.0

      1.31

      ack-erdma-controller

      0.2.6

      1.28

      mse-ingress-controller

      1.1.18

      1.28

      alb-ingress-controller

      v2.18.0-aliyun.1

      1.28

      csi-provisioner

      v1.33.3-884df97-aliyun

      1.28

      csi-plugin

      v1.33.3-884df97-aliyun

      1.28

      storage-operator

      v1.32.10

      1.28

      flexvolume

      サポートされているバージョンはありません。csi-plugin に移行してください。詳細については、「FlexVolume から CSI への移行」をご参照ください。

      kritis-validation-hook

      v0.12.0.0-g1535b25b-aliyun

      1.28

      aliyun-acr-credential-helper

      v25.07.21.1-67f1f51-aliyun

      1.28

      logtail-ds

      v2.1.14.0-aliyun

      1.28

      loongcollector

      3.1.1

      1.28

      metrics-server

      v0.3.9.7-85b3699-aliyun

      1.28

      alicloud-monitor-controller

      v1.8.8

      1.28

      ack-node-problem-detector

      1.2.27

      1.28

      arms-prometheus

      1.1.33

      1.28

      ack-cost-exporter

      1.0.21

      1.28

      ack-sysom-monitor

      1.1.2

      1.28

      arms-cmonitor

      4.1.2

      1.28

      ack-onepilot

      5.0.0

      1.28

      cluster-autoscaler

      v1.3.18-48f43128-aliyun

      1.28

      ack-goatscaler

      v0.4.5-17c5a32-aliyun

      1.28

      migrate-controller

      v1.8.6-17482bb-aliyun

      1.28

      ack-acr-acceleration-p2p

      0.3.10

      1.28

      csi-secrets-store-provider-alibabacloud

      0.5.0

      1.28

      ack-secret-manager

      0.5.12

      1.28

      ack-extend-network-controller

      v0.12.0

      1.28

    • インスタンスメタデータサービスに依存するアプリケーションをクラスターにデプロイしている場合は、拡張モードのみに切り替える前にアプリケーションコードを変更する必要があります。切り替え後、通常モードを使用するリクエストは拒否されます。詳細については、「インスタンスメタデータ」をご参照ください。

    手順

    この機能は、ノードプールを作成するとき、またはクラスター作成中にノードプールを設定するときにのみ設定できます。ノードプールが作成された後は、インスタンスメタデータのアクセスモードを変更することはできません。

    以下の手順では、新しいノードプールの作成を例として使用します。主要な設定項目は、クラスターを作成する際に必要なものと同じです。

    1. ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. クラスター ページで、管理するクラスターを見つけてその名前をクリックします。左側のナビゲーションウィンドウで、[ノード] > [ノードプール] を選択します。

    3. [ノードプールの作成] をクリックし、画面の指示に従ってノードプールを作成します。

      このセクションでは、この機能の主要な設定項目のみを説明します。すべての設定項目の詳細については、「ノードプールの作成と管理」をご参照ください。

      • オペレーティングシステム: オペレーティングシステムのイメージが拡張モードのみをサポートし、イメージのバージョンが要件を満たしていることを確認してください。

        • パブリックイメージ

          オペレーティングシステムイメージ

          最小バージョン

          Container-optimized Alibaba Cloud Linux 3.2104 LTS 64 ビット

          20241226

          Alibaba Cloud Linux 3.2104 LTS 64 ビット

          20241218

          Ubuntu 22.04

          20250722

          ContainerOS 3.6

          20250916

        • カスタムイメージ: イメージにインストールされている cloud-init のバージョンが 23.2.2 以降であることを確認してください。cloud-init のバージョンの確認とアップグレードの詳細については、「cloud-init のインストール」をご参照ください。

      • [インスタンスメタデータアクセスモード]: [拡張モードのみ] を選択します。