クラスタのインターネットアクセスを有効にし、クラスタへの接続に使用する kubeconfig ファイルを取得する - Container Service for Kubernetes

Container Service for Kubernetes (ACK) クラスタの API サーバーには、インターネットまたは内部ネットワーク経由で接続できます。ACK コンソールに加えて、コマンドラインツールを使用して ACK クラスタの API サーバーと対話できます。コマンドラインツールには、Kubernetes が提供する kubectl と、Alibaba Cloud が提供する Web ベースのコマンドラインツール Workbench および Cloud Shell が含まれます。

1. ACK クラスタへのアクセスのためのネットワークモードとネットワーク ACL を構成する

ACK クラスタの API サーバーには、インターネットまたは内部ネットワーク経由で接続でき、API サーバーのネットワークアクセス制御リスト (ACL) を構成できます。

内部ネットワーク経由の接続: ACK クラスタを作成すると、ACK は API サーバーの内部エンドポイントを提供する、内部向けの Classic Load Balancer (SLB) インスタンスを作成します。同じ仮想プライベートクラウド (VPC) にデプロイされたクラウドリソースは相互に通信できます。
インターネット経由の接続: ACK クラスタの API サーバー用に作成された内部向け CLB インスタンスに Elastic IP アドレス (EIP) を関連付けて、インターネット経由でクラスタへのアクセスを有効にすることができます。詳細については、「クラスタの API サーバーへのパブリックアクセスを制御する」をご参照ください。

ACK クラスタの API サーバーへの不正アクセスを防ぐために、API サーバー用に作成された CLB インスタンスのリスナーポート 6443 にネットワーク ACL を構成することをお勧めします。ネットワーク ACL をホワイトリストまたはブラックリストとして構成して、API サーバーへのアクセスを制限できます。詳細については、「ACK クラスタの API サーバーのネットワーク ACL を構成する」をご参照ください。

2. kubeconfig ファイルを管理する

Kubernetes クラスタに接続する前に、クラスタの kubeconfig ファイルを取得する必要があります。 kubeconfig ファイルには、Kubernetes クライアントへの接続と、インターネットまたは内部ネットワーク経由でのクラスタへのアクセスの認証に使用される認証情報が格納されています。ACK では、さまざまな Alibaba Cloud アカウント、Resource Access Management (RAM) ユーザー、または RAM ロールに対して kubeconfig ファイルを発行できます。セキュリティリスクを軽減するために、一時的な kubeconfig ファイルを使用し、一時的な kubeconfig ファイルの有効期間を構成する際には注意することをお勧めします。 kubeconfig ファイルの取得、取り消し、および削除方法の詳細については、「Kubeconfig ファイルの管理」をご参照ください。

3. クラスタ接続方法を選択する

クラスタがインターネットアクセスをサポートしているかどうかなどの要因に基づいて、さまざまなクラスタ接続および管理方法を選択できます。

RAM ユーザーを使用して ACK クラスタに接続する前に、サービスロールを ACK に割り当て、RAM ユーザーにクラスタへのアクセスを承認する必要があります。詳細については、「承認」をご参照ください。

Container Service コンソールにログオンします。
RAM ユーザーを使用してコンソールにアクセスする場合は、対応するクラウドサービス権限を構成する必要があります。詳細については、「ACK コンソールに必要な権限」をご参照ください。

Kubernetes が提供する kubectl と、Alibaba Cloud が提供する Web ベースのコマンドラインツール Workbench および Cloud Shell を使用します。

ツール	説明	ローカルインストール^①	内部ネットワーク経由のアクセス	インターネット経由のアクセス	参照
kubectl	Kubernetes が提供するコマンドラインツールです。	必須^①	サポートされています	サポートされています	クラスタの kubeconfig ファイルを取得し、kubectl を使用してクラスタに接続する
Workbench	追加のソフトウェアを必要とせずに Elastic Compute Service (ECS) インスタンスに接続できる Web ベースのツールです。	不要	サポートされています	サポートされています	Workbench または Cloud Shell で kubectl を使用して ACK クラスタに接続する
Cloud Shell	さまざまなプログラミング言語とコマンドラインツールがプリインストールされた Linux VM を作成する Web ベースのシェルです。	不要	サポートされていません	サポートされています	Workbench または Cloud Shell で kubectl を使用して ACK クラスタに接続する

①: Workbench および Cloud Shell はブラウザで使用できます。 kubectl を使用するには、最初にマシンに kubectl クライアントをインストールする必要があります。デフォルトでは、kubectl クライアントは ACK クラスタのワーカーノードにプリインストールされています。

参照

ACK クラスタ内のアプリケーションが、インターネット経由でのイメージのプルや依存関係ライブラリの更新など、インターネット経由で外部リソースにアクセスする必要がある場合は、「既存の ACK クラスタがインターネットにアクセスできるようにする」をご参照ください。