すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:Auto モードで ACK マネージドクラスターを作成する

    ドキュメントセンター

    Container Service for Kubernetes:Auto モードで ACK マネージドクラスターを作成する

    最終更新日:Mar 27, 2026

    Auto モードを有効化した ACK マネージドクラスターを作成することで、最小限の設定でベストプラクティスに準拠した Kubernetes クラスターを構築できます。作成後、ACK は自動的に Auto モードノードプールをプロビジョニングし、OS のアップグレード、ソフトウェアの更新、CVE 脆弱性の修正を含むノードのライフサイクル全体を管理します。これにより、お客様はアプリケーションの開発・運用に集中できます。

    重要

    オートモードは、ACK Pro マネージドクラスターでのみ利用可能で、クラスター管理および関連するクラウドプロダクトに対して料金が発生します。総コストの見積もりは、作成ページの下部に表示されます。課金の詳細については、「課金概要」および「クラウドプロダクトのリソース料金」をご参照ください。

    開始する前に、「Auto モードの概要」を確認し、その機能および対応シナリオを理解してください。

    前提条件

    開始する前に、以下の条件を満たしていることを確認してください。

    • ACK を有効化済みであること。初めて ACK を使用される場合は、ACK 有効化ページにアクセスし、画面上の指示に従ってください。

    • RAM(Resource Access Management)による権限付与が完了していること。RAM のクイック権限付与ページにアクセスし、Alibaba Cloud アカウントに ACK のデフォルトロール作成および関連クラウドリソースへのアクセスに必要な権限を付与してください。RAM クイック権限付与ページ

    • VPC や SLB などの ACK 依存クラウドプロダクトを有効化済みであること。「関連クラウドプロダクトの有効化」で全リストをご確認ください。

    • 十分なアカウント残高があること。クラスター作成では、クラシックロードバランサー (CLB) インスタンスを含む従量課金リソースが購入されます。

    クラウドプロダクトの有効化は Alibaba Cloud アカウントのみが実行可能です。RAM ユーザーに有効化済みクラウドプロダクトの管理権限を付与するには、「RAM ユーザーに対するクラスターおよびクラウドリソースへのアクセス権限付与」をご参照ください。

    クラスターの計画

    クラスターを作成する前に、以下の項目を決定してください。

    • リージョン:ネットワーク遅延を低減するため、ご利用のユーザーに地理的に近いリージョンを選択します。

    • ゾーン:高可用性を確保するために、複数のゾーンを構成します。

    • ネットワーク: 予想されるクラスターのサイズに基づいて、VPC CIDR ブロック、vSwitch CIDR ブロック、コンテナ CIDR ブロック、および Service CIDR ブロックを計画します。詳細については、「ACK クラスターのネットワークを計画する」をご参照ください。

    • インターネットアクセス:クラスターノードがアウトバウンドのインターネットアクセスを必要とするかどうかを判断します。パブリックコンテナイメージのプルにはインターネットアクセスが必要です。

    クラスターの作成

    1. ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. 上部のナビゲーションバーで、クラスターのリソースグループおよびリージョンを選択します。

    3. [クラスター]ページで、[Kubernetes クラスターの作成]をクリックします。[ACK マネージドクラスター]ページで、[自動モード]を有効にします。

    image

    1. クラスターの設定を構成します。各設定項目の説明については、以下にある「クラスター構成リファレンス」をご参照ください。

    2. クラスター構成を確認し、利用規約に同意して、[クラスターの作成] をクリックします。

    ページ右上隅の [コンソールからコードへ] をクリックすると、現在のクラスター構成と同等の Terraform または SDK コードが生成されます。

    クラスターが作成された後:

    • [Auto モードノードプール] が自動的に作成されます。このノードプールはワークロードに応じてスケールイン/スケールアウトします。ACK は OS バージョンのアップグレード、ソフトウェアバージョンのアップグレード、セキュリティ脆弱性(CVE)の修正を含むノードのフルライフサイクルを管理します。

    • ACK はお客様の構成に基づいてコンポーネントをインストールします。これらのコンポーネントはクラスターのリソースを消費するため、Auto モードノードプールが自動的にスケールアウトして対応します。

    次のステップ

    ワークロードのデプロイと負荷分散の実装

    付録

    共有責任モデル

    Auto モードにより運用保守(O&M)の負担は軽減されますが、一部の責任はお客様に残ります。

    Alibaba Cloud の責任お客様の責任共有責任

    • クラスターのコントロールプレーンの展開、保守、およびアップグレード。

    • コアクラスターコンポーネントのインストール、構成、およびアップグレード。

    • ノードプールの自動スケーリング、OS のアップグレード、ソフトウェアのアップグレード(CVE 脆弱性の修正を含む)。

    • ネットワーク計画や VPC 構成など、基本的なクラスター情報の構成。

    • クラスターレベルの RAM 権限および RBAC の設定と管理。

    • アプリケーションワークロードのデプロイ、運用、および適切な構成(レプリカ数、PreStop などのグレースフルシャットダウンポリシー、PodDisruptionBudget ポリシーなど)。これにより、O&M のためにノードをドレインしてもビジネスに中断が生じません。

    • クラスターおよびアプリケーションのモニタリングアラートを速やかに受信し、アラート情報を適切に対応すること。

    • クラスター全体のセキュリティを確保すること。クラスターのセキュリティ責任は共有責任モデルに従います。詳細については、「セキュリティに関する共有責任モデル」をご参照ください。

    • 障害のトラブルシューティングおよび解決。

    クォータおよび制限事項

    large なクラスター、または多くのリソースを持つアカウントの場合、ACK クラスターのクォータと制限を確認してください。 詳細については、クォータと制限をご参照ください:

    • 制限事項:アカウント残高要件やクラスター容量制限(クラスターあたりの異なる Kubernetes リソースの最大数)など、ACK の構成制限。

    • [クォータ制限および増加]:ACK クラスターおよび ECS や VPC など ACK が依存するクラウドサービスのクォータ制限。

    クラスター構成リファレンス

    デフォルト構成は Kubernetes のベストプラクティスに従っています。[変更可能] 列において、✗ はクラスター作成後に変更できない設定、✓ は変更可能な設定を示します。変更不可の設定には特に注意してください。

    基本構成

    設定項目説明変更可能
    [クラスター名]クラスターのカスタム名です。
    [リージョン]クラスターが実行されるリージョンです。ユーザーとリソースに近いリージョンを選択することで、ネットワーク遅延を削減できます。
    [メンテナンスウィンドウ]ACK はクラスターを自動的に更新し、メンテナンスウィンドウ内でマネージドノードプールに対する自動化された O&M 操作を実行します。操作には、ランタイムの更新や自動 CVE 脆弱性修正が含まれます。詳細なメンテナンスポリシーを設定するには、[設定] をクリックします。

    ネットワーク構成

    設定項目説明変更可能
    IPv6 デュアルスタックIPv4/IPv6 デュアルスタッククラスターを有効化します。
    重要

    • Kubernetes 1.22 以降が必要です。
    • ワーカーノードとコントロールプレーン間の通信には IPv4 アドレスが使用されます。
    • ネットワークプラグインとして Terway を使用する必要があります。
    • Terway 共有 Elastic Network Interface (ENI) モードでは、ECS インスタンスタイプが IPv6 をサポートし、サポートされる IPv4 アドレスと IPv6 アドレスの数が一致する必要があります。詳細については、「インスタンスファミリーの概要」をご参照ください。
    • VPC が IPv4/IPv6 デュアルスタックをサポートしている必要があります。
    • Elastic Remote Direct Memory Access (eRDMA)Elastic Remote Direct Memory Access(eRDMA)を使用する場合は、IPv4/IPv6 デュアルスタックを無効化してください。

    VPCクラスター用の仮想プライベートクラウド(VPC)。ゾーンを指定すると VPC が自動作成され、既存の VPC を選択することもできます。
    [VPC に対する SNAT の構成]
    説明

    共有 VPC を使用する場合は、このオプションを選択しないでください。

    選択した場合、ACK は VPC のインターネットアクセスを構成します。

    • VPC に NAT ゲートウェイがない場合:ACK が NAT ゲートウェイを作成し、クラスターで使用されるすべての vSwitch に対してスイッチレベルの SNAT ルールを構成します。
    • VPC に既に NAT ゲートウェイがある場合:VPC レベルの SNAT ルールが存在しない場合に限り、ACK がスイッチレベルの SNAT ルールを構成します。VPC レベルの SNAT ルールが既に存在する場合は、変更は行われません。
    選択しなかった場合、クラスター作成後に NAT ゲートウェイおよび SNAT ルールを手動で構成してください。「インターネット NAT ゲートウェイ」をご参照ください。

    [API サーバーへのアクセス]API サーバーは HTTP REST インターフェイスを通じてリソースオブジェクト(Pod、Service など)を管理し、作成、読み取り、更新、削除、監視操作をサポートします。
    • デフォルトで、ACK は API サーバーの内部エンドポイントとして、従量課金型の内部向けクラシックロードバランサー (CLB) インスタンスを作成します。2024 年 12 月 1 日より、新規作成された CLB インスタンスにはインスタンス料金が適用されます。詳細については、「CLB の課金調整」をご参照ください。
    • 既存の CLB インスタンスを使用する場合は、まずホワイトリストへの登録申請のためチケットを送信してください。
    API サーバーを EIP で公開する:
    • 選択済み:内部 CLB インスタンスに弾性 IP アドレス(EIP)を関連付け、API サーバーへのインターネットアクセスを有効化します。
    • 未選択:EIP は作成されません。kubeconfig ファイルを使用して、VPC 内からのみクラスターに接続できます。
    重要

    • デフォルトの CLB インスタンスを削除すると、API サーバーにアクセスできなくなります。
    • CLB に EIP をバインドすると、インターネットからのインバウンド要求が可能になりますが、クラスター内のリソースがアウトバウンドのインターネットアクセスを行うことはできません。パブリックイメージのプルには、[VPC に対する SNAT の構成] も選択してください。

    ネットワーク プラグインTerway と Flannel の比較Flannel および Terway をサポートしています。「」をご参照ください。
    • Flannel:オープンソースコミュニティのネットワークプラグイン。Alibaba Cloud VPC を使用し、VPC ルートテーブルに基づいてパケットを転送します。小規模ノードおよびカスタムコンテナネットワーク制御を必要としないシンプルなネットワーク構成に適しています。
    • Terway:Alibaba Cloud が提供する ENI を基盤としたネットワークプラグイン。トラフィック高速化のための拡張 Berkeley Packet Filter(eBPF)、Kubernetes NetworkPolicies、Pod レベルの vSwitch およびセキュリティグループをサポートします。高性能コンピューティング、ゲーム、大規模ノードおよび高ネットワークパフォーマンスを必要とするマイクロサービスに適しています。
      説明

      • 各 Pod は ENI からセカンダリ IP アドレスを取得します。ノードあたりの Pod 数は、接続されている ENI の数および各 ENI がサポートする最大セカンダリ IP アドレス数によって決まります。
      • 共有 VPC を使用する場合は、ネットワークプラグインとして Terway を選択してください。
      • Flannel を使用する場合、ALB Ingress は NodePort および LoadBalancer Service にのみリクエストを転送し、ClusterIP Service には転送しません。

    Terway を選択した場合、以下のオプションが利用可能です:
    • DataPathV2:包括的な ENI モードで Terway の DataPath V2 加速モードを有効化します。これは異なるトラフィック転送パスを使用してネットワーク通信を高速化します。クラスター作成時のみ有効化可能です。
      説明

      DataPath V2 を実行している各ワーカーノードは、追加で 0.5 コアと 512 MB のリソースを消費します (CPU 制限のデフォルト: 1 コア、メモリ制限なし)。リソース使用量は、クラスターのサイズが大きくなるにつれて増加します。DataPath V2 モードでは、conntrack データは LRU エビクションを使用して eBPF マップに保存されるため、接続制限を超えないように、ワークロードの規模に基づいてパラメーターを設定してください。詳細については、「Terway の conntrack 構成を最適化する」をご参照ください。

    • NetworkPolicy のサポート:Kubernetes ネイティブの NetworkPolicies を有効化します。コンソールベースの NetworkPolicy 管理はパブリックプレビュー中です。利用するには、クォータセンター コンソールで申請してください。
    • ENI トランク機能のサポート:トランク ENI 機能により、各 Pod に静的 IP アドレス、個別の vSwitch、個別のセキュリティグループを割り当て、細かいトラフィック隔離および IP アドレス管理を実現できます。「Pod ごとに静的 IP アドレス、個別の vSwitch、個別のセキュリティグループを構成する」をご参照ください。
      重要

      • ACK マネージドクラスターでは、トランク ENI の有効化に申請は不要です。ACK 専用クラスターでは、クォータセンター コンソールで申請する必要があります。
      • Kubernetes 1.31 以降の新規 ACK マネージドクラスターでは、トランク ENI がデフォルトで有効化されます。

    [Pod vSwitch]Terway のみに適用されます。Pod に IP アドレスを割り当てるために使用される vSwitch。各 Pod vSwitch はワーカーノード vSwitch に対応し、同一ゾーン内である必要があります。
    重要

    vSwitch CIDR ブロックのサブネットマスクは /19 ビット以下に設定することを推奨します。/25 ビットより長いサブネットマスクでは利用可能な IP アドレス数が不足し、クラスターが正常に動作しなくなる可能性があります。

    コンテナ CIDR ブロックFlannel のみに適用されます。VPC CIDR ブロック、同一 VPC 内の他の ACK クラスター CIDR ブロック、および Service CIDR ブロックと重複してはなりません。作成後は変更できません。「ACK マネージドクラスターのネットワーク計画」をご参照ください。
    [ノードあたりの Pod 数]Flannel のみに適用されます。単一ノード上の最大 Pod 数。
    サービス CIDRクラスター内のサービス用CIDRブロック。VPC CIDR ブロック、同じVPC内の他のACKクラスターのCIDRブロック、またはコンテナCIDRブロックと重複してはなりません。作成後に変更することはできません。「ACK マネージドクラスターのネットワーク計画」をご参照ください。
    [転送モード]サポートされるモード:iptables および IP Virtual Server(IPVS)。
    • iptables:成熟した kube-proxy モードで、iptables ルールを使用してサービス検出および負荷分散を構成します。パフォーマンスはクラスター規模に依存します。Service 数が少ないクラスターに適しています。
    • IPVS:Linux IPVS モジュールを使用する高性能 kube-proxy モードです。大量の Service を管理し、高性能な負荷分散を必要とするクラスターに適しています。

    高度なオプション

    以下の設定は Kubernetes のベストプラクティスに従ったデフォルト値が適用されます。各項目の説明に基づき、必要に応じて調整してください。

    設定項目説明変更可能
    [Kubernetes バージョン]クラスターの Kubernetes バージョンです。可能な限り最新バージョンを使用してください。詳細については、「ACK でサポートされる Kubernetes バージョン」をご参照ください。手動アップグレード自動アップグレードの両方をサポートしています。
    [自動更新]メンテナンスウィンドウ内で、コントロールプレーンのコンポーネントおよびノードプールに対する定期的な自動アップデートを有効にします。アップデートポリシーおよび使用方法については、「クラスターを自動的に更新する」をご参照ください。
    セキュリティグループ
    説明

    [既存のセキュリティグループを選択] オプションは、[VPC][既存の VPC を選択] に設定されている場合にのみ利用できます。

    オプション:基本 セキュリティグループ の作成高度な セキュリティグループ の作成、または 既存の セキュリティグループ の選択

    • 自動作成されたセキュリティグループは、デフォルトですべてのアウトバウンドトラフィックを許可します。セキュリティグループを変更する場合は、100.64.0.0/10 へのトラフィックが許可されていることを確認してください。この CIDR ブロックは、イメージのプルおよび ECS インスタンス情報の照会のために Alibaba Cloud サービスへのアクセスに使用されます。
    • 既存のセキュリティグループを選択した場合、ACK はセキュリティグループルールを自動的に設定しません。アクセスエラーを回避するために、ルールを手動で設定してください。詳細については、「クラスターのセキュリティグループを設定する」をご参照ください。

    [削除保護]クラスターが誤ってリリースされるのを防止します。コンソールまたは API 経由で有効化できます。
    [リソースグループ]リソースグループクラスターが所属する。各リソースは 1 つのリソースグループにのみ所属できます。プロジェクト、アプリケーション、チーム別にリソースを整理するためにリソースグループをご利用ください。
    ラベルクラスターを識別するためのキーと値のペア。
    タイムゾーンタイムゾーンクラスターの。デフォルトではブラウザのタイムゾーンが使用されます。
    Log ServiceSimple Log Service を使用したコンテナからのログデータの収集既存の Simple Log Service(SLS)プロジェクトを選択するか、クラスターログの収集用に新規作成します。「」をご参照ください。
    • Ingress ダッシュボードの作成: SLS コンソールで Ingress ダッシュボードを作成し、nginx-ingress-controller のアクセスログを収集します。詳細については、「nginx-ingress-controller のアクセスログの分析およびモニタリング」をご参照ください。
    • node-problem-detector のインストールとイベントセンターの作成: SLS コンソールにイベントセンターを追加して、すべてのクラスターイベントをリアルタイムで収集します。 詳細については、「イベントセンターの作成と使用」をご参照ください。
    [アラート]アラート管理アラート管理を有効化します。「」をご参照ください。連絡先および連絡先グループを指定します。デフォルトは [デフォルト連絡先グループ] です。