すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:ACK Auto モードクラスターの作成

最終更新日:Jun 22, 2026

ACK マネージドクラスターを作成する際に、オートモードを有効にできます。このモードでは、簡単な計画と設定を完了すると、シングルクリックでベストプラクティスに沿った Kubernetes クラスターを作成できます。デフォルトでは、クラスターがオートモードノードプールを作成し、ACK がこのプール内のノードのライフサイクルとオペレーションを管理します。

Auto モードを有効にする前に、Auto モードの概要をお読みいただき、その機能とユースケースを理解してください。

前提条件

計画と設計

クラスターを作成する前に、安定、効率的、かつ安全に稼働するよう、ビジネス要件に基づいてその設定を計画および設計します。

  • リージョン:ユーザーの地理的に近いリージョンにデプロイされたサービスは、ユーザーがサービスにアクセスするときの応答性が向上します。

  • ゾーン:クラスターの高可用性を確保するために、複数のゾーンを構成することをお勧めします。

  • ACK クラスターのネットワークを計画する:ビジネスシナリオとクラスターサイズに基づいて、仮想プライベートクラウド (VPC) CIDR ブロック、vSwitch CIDR ブロック、コンテナ CIDR ブロック、およびサービス CIDR ブロックを構成します。次に、クラスターの IP アドレス範囲と、Pod とノードで使用可能な IP アドレスの数を指定します。

  • インターネットアクセス:クラスター内のノードがインターネットにアクセスできるかどうかを指定します。パブリックイメージをプルするときは、クラスターにインターネットアクセスが必要です。

有効化と権限付与

クラスターを作成する前に、必要なサービスを有効化し、アカウントに権限を付与する必要があります:

  • ACK の有効化: 初めて ACK を使用する場合は、ACK 有効化ページにログインし、画面の指示に従ってください。

  • ロールの権限付与: RAM のクイック権限付与ページに移動して、ACK がデフォルトロールを作成するために必要な権限を付与してください。 これにより、ACK が関連するクラウドリソースを呼び出せるようになります。

  • 関連クラウド製品の有効化: ACK クラスターが依存する、VPC や SLB などのクラウド製品を有効化してください。

    • 作成プロセスには、CLB インスタンスなどの従量課金リソースの購入が含まれます。 料金滞納によるサービスの中断を避けるため、アカウントに十分な残高があることを確認してください。

    • クラウド製品を有効化できるのは Alibaba Cloud アカウントのみです。 RAM ユーザーに有効化済みのクラウド製品の管理を許可するには、RAM を使用したクラスターおよびクラウドリソースへの権限付与をご参照ください。

手順

  1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

  2. ページの左上隅で、対象リソースが存在するリソースグループおよびリージョンを選択します。image

  3. クラスターリスト ページで、Kubernetes クラスターの作成 をクリックします。ACK マネージドクラスター ページで、Auto モードを有効にします。

    このモードを有効にすると、ページに Auto モードの 3 つの主要機能が表示されます: フルマネージドの運用 (フルマネージドのコントロールプレーン、自動バージョンアップグレード、自動修復を備えたメンテナンスフリーのノード)、 自動ノードスケーリング (オンデマンドの弾性スケーリング、自動インスタンスタイプマッチング、最適化されたリソースコスト)、 高度に最適化されたノード OS (高速起動に対応したコンテナに最適化された OS、イミュータブルなファイルシステム、デフォルトで適用されるセキュリティのベストプラクティス)。

  4. 画面の指示に従ってクラスターを構成します。構成を確認し、利用規約を確認した後、Kubernetes クラスターの作成 をクリックします。

    構成項目の詳細については、「Cluster configuration」をご参照ください。

    Auto モードは ACK マネージドクラスター Pro Edition でのみ利用でき、クラスター管理および関連するクラウド製品の料金が発生します。クラスターの合計コストは、作成ページの下部で確認できます。また、ACK と各製品の課金ドキュメントも確認できます。詳細については、「課金概要」および「Fees for cloud product resources」をご参照ください。

    ページの右上隅で 同機能のコード をクリックすると、現在のクラスター構成用の Terraform または SDK のサンプルパラメータを生成できます。
  • クラスターの作成後、Auto モードのノードプールが自動的に作成されます。このノードプールは、ワークロード需要に基づいて動的にスケールイン/スケールアウトします。ACK は、OS とソフトウェアのアップグレードやセキュリティ脆弱性の修正といった、ノードのライフサイクルと運用保守タスクを管理します。

  • クラスターの作成後、ACK は構成に基づいてコンポーネントをインストールします。これらのコンポーネントは、クラスター内のコンピューティングリソースを消費する場合があります。Auto モードのノードプールは自動的にスケールアウトし、必要なノードを追加します。

次のステップ

ワークロードのデプロイと負荷分散の実装

付録

責任共有モデル

ACK Auto Mode は、自動化されたインテリジェントな Kubernetes クラスターの O&M を提供し、お客様の運用オーバーヘッドを削減することを目的としています。ただし、お客様は依然として特定のタスクに責任を負います。

Alibaba Cloud の責任

お客様の責任

共有責任

  • クラスターのコントロールプレーンのデプロイ、メンテナンス、およびアップグレード。

  • クラスターコアコンポーネントのインストール、設定、およびアップグレード。

  • ノードプールの自動スケーリング、OS のアップグレード、および CVE 脆弱性の修正を含むソフトウェアのアップグレード。

  • VPC 設定やネットワーク計画などの基本的なクラスター情報の設定。

  • クラスターの RAM 権限と RBAC の設定および管理。

  • アプリケーションワークロードのデプロイ、運用、および適切な設定。適切な設定として、レプリカ数、PreStop などのグレースフルシャットダウンポリシー、および PodDisruptionBudget ポリシーなどがあります。これにより、サービスを中断することなく、メンテナンスのためにノードをドレインできます。

  • クラスターおよびアプリケーションのモニタリングアラートの迅速な受信と対応。

  • クラスター全体のセキュリティの確保。クラスターのセキュリティは、責任共有モデルによって規定されます。詳細については、「セキュリティに関する責任共有モデル」をご参照ください。

  • 問題のトラブルシューティングと解決。

クォータと制限

クラスタサイズが大きい場合、またはアカウントに多数のリソースがある場合は、ACK クラスタに指定されているクォータと制限に従ってください。詳細については、「クォータと制限」をご参照ください。

  • 制限: ACK 構成制限(アカウント残高、クラスタの容量制限など)。これは、クラスタ内のさまざまな Kubernetes リソースの最大容量です。

  • クォータ制限とクォータの増やし方: ACK クラスタのクォータ制限、および ACK が依存するクラウドサービス(ECS や VPC など)のクォータ制限。クォータを増やす場合は、関連するトピックをご覧ください。

クラスター設定

デフォルト設定を使用してクラスターを作成するか、ビジネス要件と利用可能なリソースに基づいて設定をカスタマイズできます。 次の表の[変更可否]列では、错 は作成後に設定を変更できないことを示し、对 は設定を変更できることを示します。 変更できない設定に特に注意してください。

基本設定

パラメータ

説明

変更可否

[クラスター名]

カスタムのクラスター名を入力します。

[リージョン]

リージョンは、クラスターのリソース(ECS インスタンスやクラウドディスクなど)が配置される場所です。ご利用の所在地およびリソースのデプロイ先に近いリージョンを選択すると、ネットワーク遅延が低減されます。

[メンテナンス期間]

ACK では、自動クラスターのアップグレードや OS の CVE 脆弱性修正などの自動 O&M タスクを、定義されたメンテナンスウィンドウ内でのみ実行します。

ネットワーク設定

パラメータ

説明

変更可否

[IPv6 デュアルスタック]

Kubernetes 1.22 以降、Terway のみでサポートされ、eRDMA との併用はできません。

クラスターは IPv4 および IPv6 の両方のプロトコルをサポートしますが、ワーカーノードとコントロールプレーン間の通信は引き続き IPv4 アドレスを使用します。以下の点を確認してください。

  • クラスターの VPC が IPv6 デュアルスタックをサポートしていること。

  • 共有 ENI モードで Terway を使用する場合、インスタンスタイプが IPv6 をサポートしており、割り当て可能な IPv4 アドレスと IPv6 アドレスの数が等しいこと。

[VPC]

クラスター用の VPC です。高可用性を確保するため、2 つ以上のゾーンを選択することを推奨します。

  • 自動作成:ACK が選択した各ゾーンに vSwitch を作成します。

  • 既存のものを使用:クラスターのゾーンを指定するために vSwitch を選択します。新しい vSwitch を作成するか、既存の vSwitch を使用できます。

クラスター VPC には、標準のプライベート CIDR ブロック (例: 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16) の使用を推奨します。特別な要件がある場合は、Quota Center ([パブリック CIDR ブロック VPC を使用したクラスターの作成]) で申請してください。

クラウドリソースおよび課金情報:imageVPC

[VPC 用の SNAT を自動的に設定する]

共有 VPC を使用する場合は、このオプションを選択しないでください。

ノードがパブリックネットワークにアクセスする必要がある場合(パブリックイメージのプルや外部サービスへのアクセスなど)に、このオプションを選択します。ACK は、クラスターのリソースにパブリックネットワークアクセスを可能にするために、NAT Gateway および SNAT ルールを自動的に構成します。

  • VPC に NAT Gateway がない場合:ACK が NAT Gateway を自動的に作成し、新しい EIP を購入して、クラスターの vSwitch 用に SNAT ルールを構成します。

  • VPC に既に NAT Gateway がある場合:ACK が追加の EIP の購入または SNAT ルールの構成を判断します。利用可能な EIP がない場合は、新しい EIP を購入します。VPC レベルの SNAT ルールが存在しない場合は、クラスターの vSwitch 用に SNAT ルールを構成します。

このオプションを選択しない場合、クラスター作成後に NAT Gateway および SNAT ルールを手動で構成できます。詳細については、「パブリック NAT Gateway」をご参照ください。

クラウドリソースおよび課金情報:imageNAT GatewayimageEIP

[API サーバーアクセス]

ACK は、API Server の内部エンドポイントとして、従量課金のプライベート CLB インスタンスを自動的に作成します。この CLB インスタンスは再利用または削除できません。削除すると、API Server にアクセスできなくなり、復元できません。

既存の CLB インスタンスを使用するには、チケットを送信してください。その後、既存のものを使用するVPC に選択した後、SLB のソース既存のものを使用する に設定できます。

オプションで、EIP で API サーバーの公開 を有効化できます。

  • 有効: EIP を API Server のプライベート CLB インスタンスにバインドし、クラスターを管理するためのパブリックネットワークアクセスを許可します。

    これにより、クラスター内のリソースへのパブリックネットワークアクセスが可能になるわけではありません。クラスターのリソースがパブリックネットワークにアクセスできるようにするには、VPC 用の SNAT を自動的に設定する を選択してください。
  • 無効化:VPC 内からのみ kubeconfig を使用してクラスターに接続および管理できます。

後から有効化するには、「API Server のパブリックネットワークアクセスの有効化」をご参照ください。
2024 年 12 月 1 日以降、新規に作成される CLB インスタンスは、

クラウドリソースおよび課金情報:imageCLBimageEIP

[ネットワークプラグイン]

ネットワークプラグインは、クラスター内における Pod 間通信の基盤を提供します。

詳細な比較については、「Terway および Flannel コンテナーネットワークプラグインの比較」をご参照ください。
  • Flannel:軽量かつオープンソースのコミュニティネットワークプラグインです。ACK では、Alibaba Cloud VPC と深く統合されており、Pod の通信に直接 VPC ルートテーブル管理を使用します。

    • 利用シーン:シンプルな構成と低リソース消費が求められる場合。VPC ルートテーブルのクォータ制限により規模が制約される小規模クラスター、簡素化されたネットワーキング、およびカスタムコンテナーネットワーク制御を必要としないシナリオに適しています。

  • Terway:Alibaba Cloud が開発した高性能ネットワークプラグインで、Pod の通信に Elastic Network Interfaces(ENI)を使用します。

    • 利用シーン:eBPF ベースのネットワークアクセラレーション、NetworkPolicy、および Pod 単位の vSwitch およびセキュリティグループ機能を提供します。ハイパフォーマンスコンピューティング、ゲーム、マイクロサービスなど、大規模ノード、高いネットワークパフォーマンス、および強固なセキュリティを必要とするシナリオに最適です。

    • Pod の上限:各 Pod は ENI から 1 つのセカンダリ IP アドレスを消費します。ENI あたりの IP アドレス数には制限があります(インスタンスタイプによって異なります)。そのため、ノードあたりの最大 Pod 数は ENI およびセカンダリ IP のクォータによって制約されます。

      共有 VPC を使用する場合は、Terway のみがサポートされます。

    Terway は以下の機能も提供します。

    詳細については、「Terway ネットワークプラグインの使用」をご参照ください。
    • DataPathV2

      クラスター作成時のみ設定可能です。

      DataPathV2 アクセラレーションモードを有効化します。Terway は eBPF 技術を使用してトラフィック転送パスを最適化し、ネットワーク集約型アプリケーションに対して低遅延および高スループットを実現します。

      Alibaba Cloud Linux 3(全バージョン)、ContainerOS、および Linux カーネルバージョン 5.10 以降の Ubuntu のみでサポートされます。詳細については、「ネットワークアクセラレーション」をご参照ください。

    • NetworkPolicy サポート

      パブリックプレビュー中です。こちらのクォータセンターコンソールにて申請してください。

      ネイティブの Kubernetes NetworkPolicy をサポートし、Pod レベルの「ファイアウォール」と細かいアクセス制御ルールを実装することで、クラスターのセキュリティを強化します。

    • Trunk ENI のサポート

      Pod に専用の IP アドレス、vSwitch、およびセキュリティグループを割り当てることができます。固定 IP アドレスまたは特定の Pod に対する独立したネットワークポリシー管理を必要とする特殊なビジネスシナリオに適しています。詳細については、「Pod への固定 IP アドレス、専用 vSwitch、およびセキュリティグループの割り当て」をご参照ください。

[ポッド vSwitch]

Terway プラグインを使用する場合のみ必須です。

Pod に IP アドレスを割り当てるために使用される vSwitch です。各 Pod vSwitch はワーカーノードの vSwitch に対応しており、両方とも同じゾーン内にある必要があります。

重要

Pod 仮想スイッチには、サブネットマスクを /19 より大きくしないでください。許容される最大サブネットマスクは /25 です。それより大きいサブネットマスクを使用すると、クラスターで割り当て可能な Pod IP アドレスの数が大幅に制限され、クラスターの正常な動作に影響を与えます。

[コンテナー CIDR ブロック]

Flannel のみで必須です。

Pod IP を割り当てるための IP アドレスプールです。この CIDR ブロックは、VPC または VPC 内の既存の ACK クラスター CIDR ブロックと重複してはならず、サービス CIDR ブロック とも重複してはなりません。

[ノードのポッド数]

Flannel のみで必須です。

単一ノード上で許可される最大 Pod 数を定義します。

[サービス CIDR ブロック]

Service CIDR とも呼ばれるこの CIDR ブロックは、内部クラスターサービスに IP アドレスを割り当てるための IP アドレスプールです。この CIDR ブロックは、VPC または VPC 内の既存のクラスター CIDR ブロックと重複してはならず、コンテナー CIDR ブロック とも重複してはなりません。

[サービス転送モード]

kube-proxy のプロキシモードを選択します。これは、クラスターサービスがバックエンドの Pod にリクエストを分散する方法を決定します。

  • iptables:Linux ファイアウォールルールを使用したトラフィック転送です。安定していますが、パフォーマンスに制限があります。サービスの数が増えると、ファイアウォールルールが指数関数的に増加し、リクエスト処理が遅くなります。サービス数が少ないクラスターに適しています。

  • IPVS:ハッシュテーブルを使用して高速な Pod ターゲティングを実現する高性能トラフィック分散ソリューションで、多数のサービス負荷下でも低遅延を実現します。大規模な本番クラスターまたは高いネットワークパフォーマンスを必要とするシナリオに適しています。

高度なオプション

以下の設定は、Kubernetes クラスターのベストプラクティスに基づいています。デフォルト設定のままでかまいません。変更が必要な場合は、設定項目の説明を参照し、画面の指示に従ってください。

パラメータ

説明

変更可否

[Kubernetes バージョン]

最新の 3 つのマイナーバージョンのみがサポートされています。利用可能な最新バージョンのご使用を推奨します。ACK のバージョンサポートの詳細については、「ACK バージョンサポートの概要」をご参照ください。

手動クラスターアップグレード自動クラスターアップグレード をサポートします。

[自動アップグレード]

コントロールプレーンおよびノードプールを定期的に更新するために、自動アップグレードを有効化します。

アップグレードポリシーおよび手順については、「クラスターの自動アップグレード」をご参照ください。

[セキュリティグループ]

既存の VPC を使用する場合、既存のセキュリティグループの選択

この セキュリティグループ は、クラスターのコントロールプレーン、デフォルトのノードプール、およびカスタムセキュリティグループを指定していないノードプールに適用されます。

基本セキュリティグループと比較して、エンタープライズセキュリティグループはより多くのプライベート IP アドレスをサポートしますが、グループ内接続はサポートされません。詳細については、「セキュリティグループの分類」をご参照ください。

  • 自動作成:アウトバウンドトラフィックはデフォルトで許可されます。インバウンドルールは、推奨構成 に従います。後からルールを変更する場合は、100.64.0.0/10 CIDR ブロックへのインバウンドアクセスが許可されていることを確認してください。

    この CIDR ブロックは、イメージのプルや ECS の基本情報の照会などの操作のために、他の Alibaba Cloud サービスにアクセスするために使用されます。
  • 既存のものを使用:ACK はセキュリティグループに追加のアクセスルールを追加しません。アクセスの問題を回避するために、セキュリティグループルールを自ら管理する必要があります。詳細については、「クラスターのセキュリティグループの構成」をご参照ください。

[クラスター削除保護]

誤ってコンソールまたは OpenAPI 経由でクラスターを削除することを防ぐため、有効化することを推奨します。

[リソースグループ]

権限管理およびコスト配分を容易にするために、クラスターを選択した リソースグループ に割り当てます。

リソースは 1 つのリソースグループにのみ所属できます。

[ラベル]

クラウドリソース識別子として、キーと値の タグ をクラスターにバインドします。

[タイムゾーン]

タイムゾーンは、クラスターで使用されるタイムゾーンです。デフォルトではブラウザで設定されたタイムゾーンになります。

[Log Service]

既存の SLS プロジェクトを使用するか、新しいプロジェクトを作成して、クラスターのアプリケーションログを収集します。

また、クラスター API Server の監査機能を有効化して、Kubernetes API へのリクエストおよびその結果を収集します。

後から有効化するには、「ACK クラスターのコンテナーログの収集」および「クラスター API Server 監査機能の使用」をご参照ください。
  • Ingress ダッシュボードの作成: SLS コンソールに Ingress ダッシュボードを作成して、Nginx Ingress のアクセスログを収集します。詳細については、「Nginx Ingress アクセスログの収集および分析」をご参照ください。

  • node-problem-detector をインストールして Event Hub を作成: SLS コンソールに Event Hub を追加して、すべての Kubernetes イベントをリアルタイムで収集します。詳細については、「K8s Event Hub の作成および使用」をご参照ください。

クラウドリソースおよび課金情報:imageSLS

[アラート]

Container Service アラート管理 を有効化し、クラスターに異常が発生した際に SLS、Managed Service for Prometheus、および Cloud Monitor からのデータソースに基づいて、アラートグループにアラート通知を送信します。