Container Service for Kubernetes:ACK マネージドクラスターの設定項目

• Pro Edition：SLA を保証し、エンタープライズ向けの本番環境およびテスト環境に適しています。

• Basic Edition: クォータ（各アカウントで最大 2 つのクラスターを作成可能）を備えており、個人学習およびテスト用にのみ使用することを目的としています。

リージョンは、クラスターのリソース（ECS インスタンスやクラウドディスクなど）が配置される場所です。ご利用の拠点およびリソースのデプロイ先に近いほど、ネットワーク遅延が低減されます。

最新の 3 つの マイナーバージョンのみがサポートされています。最新の利用可能なバージョンを使用することを推奨します。ACK のバージョンサポートに関する詳細については、「ACK バージョンサポートの概要」をご参照ください。

コントロールプレーンおよびノードプールを定期的に更新するために、自動アップグレードを有効化します。

アップグレードポリシーおよび手順については、「クラスターの自動アップグレード」をご参照ください。

ACK は、自動クラスターアップグレードや OS の CVE 脆弱性修正などの自動 O&M タスクを、定義されたメンテナンスウィンドウ内でのみ実行します。

Flannel のみで必要です。

Pod IP を割り当てるための IP アドレスプールです。この CIDR ブロックは、VPC または VPC 内の既存の ACK クラスター CIDR ブロックと重複してはならず、サービス CIDR ブロック とも重複してはなりません。

Flannel のみで必要です。

単一ノード上で許可される最大 Pod 数を定義します。

Terway プラグインを使用する場合にのみ必要です。

Service CIDR とも呼ばれる、内部クラスターサービスに IP を割り当てるための IP アドレスプールです。この CIDR ブロックは、VPC または VPC 内の既存のクラスター CIDR ブロックと重複してはならず、コンテナー CIDR ブロック とも重複してはなりません。

共有 VPC を使用する場合は、このオプションを選択しないでください。

ノードがパブリックネットワークにアクセスする必要がある場合（パブリックイメージのプルや外部サービスへのアクセスなど）に、このオプションを選択します。ACK は、クラスターのリソースにパブリックネットワークアクセスを有効化するために、NAT ゲートウェイおよび SNAT ルールを自動的に設定します。

• VPC に NAT ゲートウェイがない場合：ACK は NAT ゲートウェイを自動的に作成し、新しい EIP を購入し、クラスターの vSwitch 用に SNAT ルールを設定します。

• VPC に既に NAT ゲートウェイがある場合：ACK は、追加の EIP の購入または SNAT ルールの設定を判断します。利用可能な EIP がない場合は、新しい EIP を購入します。VPC レベルの SNAT ルールがない場合は、クラスターの vSwitch 用に SNAT ルールを設定します。

このオプションを選択しない場合、クラスター作成後に NAT ゲートウェイおよび SNAT ルールを手動で設定できます。「パブリック NAT ゲートウェイ」をご参照ください。

クラウドリソースおよび課金情報：NAT ゲートウェイ、EIP

誤ってコンソールまたは OpenAPI 経由でクラスターを削除することを防ぐため、この機能を有効化することを推奨します。

選択した リソースグループ にクラスターを割り当てることで、権限管理およびコスト配分を容易にします。

リソースは 1 つのリソースグループにのみ所属できます。

クラスターで使用される タイムゾーン です。デフォルトではブラウザで設定されたタイムゾーンになります。

API サーバー証明書の SAN（Subject Alternative Name）フィールドには、デフォルトでクラスターのローカルドメイン、プライベート IP、パブリック EIP などのフィールドが含まれます。プロキシサーバー、カスタムドメイン、または特殊なネットワーク環境を介してクラスターにアクセスする場合、これらのアクセスアドレスを SAN フィールドに追加します。

後から有効化するには、「クラスター API サーバー証明書 SAN のカスタマイズ」をご参照ください。

従来のモードでは、Pod の ID 認証情報は永続的に有効であり、複数の Pod で共有されるため、セキュリティリスクがあります。有効化すると、各 Pod は、有効期限および権限制限を設定可能な独自の一時的な ID 認証情報を受信します。

後から有効化するには、「ServiceAccount Token ボリュームプロジェクションの使用」をご参照ください。

Pro Edition クラスターでのみサポートされます。

Alibaba Cloud KMS で作成されたキーを使用して、シークレットキーをプロフェッショナルレベルで暗号化し、データセキュリティを強化します。

後から有効化するには、「Alibaba Cloud KMS を使用した静止中のシークレットの暗号化」をご参照ください。

クラウドリソースおよび課金情報：KMS

クラスターは OIDC プロバイダーを作成します。その ServiceAccount から一時的な OIDC トークンを使用することで、アプリケーションの Pod は Alibaba Cloud RAM サービスを呼び出し、指定された RAM ロールを引き受け、クラウドリソースへの一時的な承認を安全に取得し、Pod レベルでの最小権限の権限管理を実現できます。

後から有効化するには、「RRSA を使用した Pod レベルの権限分離のための ServiceAccount RAM 権限の設定」をご参照ください。

カスタムのノードプール名を入力します。

ACK の 自動 O&M 機能を使用するために、マネージドノードプールを有効化します。

ビジネスが基盤となるノードの変更に敏感であり、ノードの再起動やアプリケーション Pod の移行を許容できない場合、この機能の有効化は推奨されません。

後から有効化するには、ノードプールの編集を行ってください。

ACK はノードのステータスを自動的に監視し、ノードが異常になった場合に自己修復タスクを実行します。もし ノードに障害が発生した場合はノードを再起動します を選択した場合、ノードの自己修復にはノードのドレインおよびディスクの交換が含まれる可能性があります。トリガー条件および関連イベントについては、「ノードの自己修復の有効化」をご参照ください。

ノードプール OS の CVE 脆弱性の修正を実行し、脆弱性修正レベルを設定できます。

クラウドリソースおよび課金情報：セキュリティセンター

ACK は、マネージドノードプールに対する自動 O&M 操作を、定義されたメンテナンスウィンドウ内でのみ実行します。

スケールアウト時に、ノードは構成された ECS インスタンスファミリーから割り当てられます。スケールアウトの成功率を向上させるため、在庫切れや利用不可を回避するために、複数のゾーンにわたる複数のインスタンスタイプを選択してください。スケールアウト時に使用される具体的なインスタンスタイプは、構成されたスケーリングポリシーによって決定されます。

ビジネスの安定性および正確なリソーススケジューリングを確保するため、GPU および非 GPU のインスタンスタイプを同一のノードプールに混在させないでください。

スケールアウトのためのインスタンスタイプを構成する方法は、以下の 2 通りです：

• 特定のタイプ：vCPU、メモリ、ファミリー、アーキテクチャなどの次元に基づいて、正確なインスタンスタイプを指定します。

• 汎用構成：属性（vCPU、メモリなど）に基づいて、使用または除外するインスタンスタイプを選択し、スケールアウトの成功率をさらに向上させます。「指定されたインスタンス属性を使用したノードプールの構成」をご参照ください。

コンソールの弾力性強度推奨事項を参照して構成するか、作成後に「ノードプールの弾力性強度の表示」をご参照ください。

ACK がサポートしていないインスタンスタイプおよびノード構成に関する推奨事項については、「ECS インスタンスタイプの構成推奨事項」をご参照ください。

クラウドリソースおよび課金情報：ECS インスタンス、GPU インスタンス

ノードプールが維持すべきノードの総数です。クラスター構成要素の正常な動作を確保するため、最低でも 2 つのノードを構成することを推奨します。ノードプールのスケールインまたはスケールアウトを行うには、予期されるノード数を調整してください。「ノードプールのスケール」をご参照ください。

ノードを作成する必要がない場合は、0 を入力し、後で手動で調整するか、既存のノードの追加を行ってください。

ノードプールがスケールアウト時にインスタンスを選択する方法を設定します。

• 優先度に基づくポリシー：クラスターで構成された vSwitch の優先度（vSwitch の上から下への順序が優先度の高い順）に基づいてスケールアウトします。高優先度のゾーンでインスタンスを作成できない場合、次に優先度の高い vSwitch が自動的に使用されます。

• コスト最適化ポリシー：vCPU 単価の低い順から高い順にスケールアウトします。

  ノードプールが プリエンプティブルインスタンス を使用する場合、スポットインスタンスが優先されます。また、スポットインスタンスが在庫やその他の理由で作成できない場合に、従量課金インスタンスで自動的に補完するために、従量課金インスタンスの割合（%） を設定できます。

• 分散バランスポリシー：複数のゾーンに ECS インスタンスを均等に分散しますが、マルチゾーンのシナリオでのみ有効です。在庫不足によりゾーン間の分散が不均衡になった場合、再バランス化できます。

スポットインスタンスを課金方法として選択する必要があります。

有効化すると、価格または在庫の理由で十分なスポットインスタンスを作成できない場合、ACK は従量課金インスタンスを自動的に作成して補完しようと試みます。

クラウドリソースおよび課金情報：ECS インスタンス

スポットインスタンスを課金方法として選択する必要があります。

ACK が自動的に作成する ECS インスタンスに、クラウドリソース識別子としてタグを自動的に追加します。各 ECS インスタンスには最大 20 個のタグを付与できます。この制限を増やすには、クォータプラットフォームにて申請してください。ACK および ESS が一部のタグを使用しているため、インスタンスあたり最大 17 個のカスタムタグを指定できます。

新しく追加されたノードは、クラスターに登録された時点でデフォルトでスケジュール不可に設定されます。ノード一覧で ノードのスケジューリングステータス を手動で調整してください。

この設定は、Kubernetes バージョン 1.34 より前のクラスターでのみ適用されます。詳細については、「Kubernetes 1.34 バージョンノート」をご参照ください。

containerd ランタイムバージョン 1.6.34 以降でのみサポートされます。

新しく追加されたノードは、コンテナイメージがオンデマンドロードをサポートしているかどうかを自動的に検出します。サポートされている場合、デフォルトでオンデマンドロードを使用してコンテナーを高速に起動し、アプリケーションの起動時間を短縮します。「オンデマンドロードを使用したコンテナー起動のアクセラレーション」をご参照ください。

ノード名はプレフィックス、ノード IP アドレス、サフィックスで構成されます。有効化すると、ノード名、ECS インスタンス名、ECS インスタンスホスト名がそれに応じて変更されます。

例：ノード IP アドレスが 192.XX.YY.55、プレフィックスが aliyun.com、サフィックスが test の場合。

• Linux ノード：ノード名、ECS インスタンス名、ECS インスタンスホスト名はすべて aliyun.com192.XX.YY.55test になります。

• Windows ノード: ホスト名は、IP アドレス内の . を - に置き換えたもので、プレフィックスやサフィックスは含まれません。

  したがって、ECS インスタンスホスト名は 192-XX-YY-55 となり、ノード名および ECS インスタンス名は aliyun.com192.XX.YY.55test になります。

以下の場合のみサポートされています：ACK マネージドクラスター

新しいノードプールを作成する場合にのみ指定可能です。

ノードプールレベルでワーカー RAM ロールを指定することで、すべてのノードで単一のワーカー RAM ロールを共有することによるセキュリティリスクを軽減できます。

• デフォルトのロール：クラスターに対して作成されたデフォルトのワーカー RAM ロールを使用します。

• Custom：指定されたロールをワーカー RAM ロールとして使用します。空欄の場合はデフォルトロールが使用されます。「カスタムワーカー RAM ロールの使用」をご参照ください。

Kubernetes 1.28 以降のクラスターでのみサポートされます。

ECS インスタンスのメタデータアクセスモードを設定します。ECS インスタンス内からメタデータサービスにアクセスして、インスタンス ID、VPC 情報、NIC 情報などのインスタンスプロパティを取得できます。「インスタンスメタデータ」をご参照ください。

• 一般モードと強化モード：通常モードおよびセキュリティ強化モードの両方でメタデータサービスへのアクセスをサポートします。

• 強化モードのみ：セキュリティ強化モードでのみメタデータサービスへのアクセスをサポートします。「ECS インスタンスメタデータへのアクセスにセキュリティ強化モードのみを使用」をご参照ください。

ノードがクラスターに参加する前に、指定されたインスタンスの事前ユーザ User-Data スクリプト を実行します。

例：事前ユーザデータが touch /tmp/pre-script の場合、ノード上で実行される結合スクリプトの順序は以下のとおりです。

#!/bin/bash
# 入力されたインスタンス事前ユーザデータはここで実行されます
touch /tmp/pre-script

# ACK ノード初期化スクリプトはここで実行されます

この構成のノード初期化時の実行ロジックについては、「ノード初期化プロセスの概要」をご参照ください。

ノードプールの基本またはエンタープライズセキュリティグループを指定します。ACK はセキュリティグループに追加のアクセスルールを追加しません。アクセスの問題を回避するため、セキュリティグループルールを自ら管理する必要があります。「クラスターのセキュリティグループの設定」をご参照ください。

各 ECS インスタンスには、参加できるセキュリティグループ数に制限があります。十分な セキュリティグループクォータ を確保してください。

ノードの IP を RDS インスタンスのホワイトリストに追加します。

ECS コンソールで デプロイメントセットの作成 を行った後、ノードプールにそれを指定することで、スケールアウトしたノードを異なる物理サーバーに分散させ、可用性を向上させることができます。

デフォルトでは、デプロイメントセットは 20 × ゾーン数（vSwitch によって決定）までサポートし、ノードプール内の最大ノード数を制限します。十分なデプロイメントセットのクォータを確保してください。

後から有効化するには、「ノードプールデプロイメントセットのベストプラクティス」をご参照ください。

ノードを追加する際に使用されるリソースプール戦略です（インスタンス設定方法 が インスタンスタイプの指定 に設定されている場合にのみサポートされます）。リソースプールには、弾力的プロビジョニング またはキャパシティ予約（即時効果のキャパシティ予約 または スケジュール効果のキャパシティ予約）サービスを有効化した後に生成されるプライベートプール、およびパブリックプールが含まれ、ノードの起動選択に使用されます。

• Private Pool First：指定されたプライベートプールを優先的に使用します。プライベートプールが指定されていないか、指定されたプライベートプールに容量がない場合、オープンタイプのプライベートプールを自動的に照合します。該当するプライベートプールがない場合、パブリックプールを使用してインスタンスを作成します。

• Private Pool Only：プライベートプール ID の指定が必要です。指定されたプライベートプールに容量がない場合、ノードの起動は失敗します。

• いいえ：リソースプール戦略を使用しません。

この設定項目は非推奨です。Resource Pool Policy を使用してプライベートプールを指定するように切り替えてください。

選択されたゾーンおよびインスタンスタイプで利用可能な プライベートプール のリソースです。タイプには以下のものがあります：

• オープン：インスタンスは自動的にオープンタイプのプライベートキャパシティプールに一致します。該当するプライベートプールがない場合、パブリックプールのリソースが起動に使用されます。

• いいえ：インスタンスはプライベートプールのキャパシティを使用せず、パブリックプールのリソースを直接使用して起動します。

• 指定：プライベートプール ID を選択して、インスタンスがそのプライベートプールのキャパシティのみを使用して起動するように制限する必要があります。プライベートプールが利用できない場合、インスタンスの起動は失敗します。

NodeLocal DNSCache をインストールして、DNS 解決結果をノード上でキャッシュし、DNS 解決のパフォーマンスおよび安定性を向上させ、クラスター内の内部サービス呼び出しを高速化します。

CSI ストレージプラグイン を基に永続ストレージを実装し、Alibaba Cloud のクラウドディスク、NAS、OSS、CPFS などのストレージボリュームをサポートします。

NAS と CNFS のデフォルトでの作成を選択すると、ACK は自動的に汎用 NAS ファイルシステムを作成し、コンテナネットワークファイルシステム (CNFS) を使用して管理します。

CNFS を後から作成するには、「CNFS を使用した NAS ファイルシステムの管理」をご参照ください。

クラウドリソースおよび課金情報：NAS

コンテナークラスターモニタリングサービスを通じて、クラスターの健全性、リソース使用率、アプリケーションパフォーマンスを監視し、異常が発生した際にアラートをトリガーします。

• ACK Cluster Monitoring Pro Edition：組み込みの Grafana ダッシュボードを備えたマネージドコンテナモニタリングサービスを提供します。データはデフォルトで 90 日間保存されます。

  課金ルールについては、「コンテナモニタリングの課金」をご参照ください。カスタムメトリクスの報告や基本保存期間の調整には追加料金が発生します。「Prometheus インスタンスの課金」をご参照ください。

• Container Cluster Monitoring Basic Edition：組み込みの基本モニタリングダッシュボードを備えた無料の非マネージドコンテナモニタリングサービスを提供します。データはデフォルトで 7 日間保存されます。

  コンポーネントはデフォルトでシングルレプリカであり、3 vCPU および 4 GB のメモリを消費し、自己保守が必要です。カスタムメトリクスの報告には追加料金が発生します。「Prometheus インスタンスの課金」をご参照ください。

• 有効化しない：コンテナモニタリングサービスを無効化し、コンテナーサービスのステータス監視およびアラート作成を防止します。

後から有効化するには、「Alibaba Cloud Prometheus モニタリングの統合および設定」をご参照ください。

クラウドリソースおよび課金情報：Prometheus

クラスター、名前空間、ノードプール、ワークロードのコストおよびリソース使用率を分析し、クラスターのリソース利用率を向上させ、コストを削減します。

後から有効化するには、「コストインサイト」をご参照ください。

既存の SLS プロジェクトを使用するか、新しいプロジェクトを作成して、クラスターのアプリケーションログを収集します。

また、クラスター API サーバーの監査機能を有効化して、Kubernetes API へのリクエストおよびその結果を収集します。

後から有効化するには、「ACK クラスターのコンテナログの収集」および「クラスター API サーバー監査機能の使用」をご参照ください。

• Ingress ダッシュボードの作成：SLS コンソールに Ingress ダッシュボードを作成して、Nginx Ingress のアクセスログを収集します。「Nginx Ingress アクセスログの収集および分析」をご参照ください。

• node-problem-detector のインストールおよび Event Hub の作成：SLS コンソールに Event Hub を追加して、すべての Kubernetes Events をリアルタイムで収集します。「K8s Event Hub の作成および使用」をご参照ください。

クラウドリソースおよび課金情報：SLS

Container Service アラート管理 を有効化し、SLS、Managed Service for Prometheus、Cloud Monitor からのデータソースに基づき、クラスターの異常が発生した際にアラート通知をアラートグループに送信します。

コントロールプレーンコンポーネントのログを SLS プロジェクトに収集し、詳細なトラブルシューティングおよび根本原因分析を行います。

後から有効化するには、「ACK マネージドクラスターのコントロールプレーンコンポーネントログの収集」をご参照ください。

クラウドリソースおよび課金情報：SLS

IT 運用向け AI（AIOps）の クラスター検査機能 を有効化して、クォータ、リソース使用率、コンポーネントバージョンなどを定期的にスキャンし、設定がベストプラクティスに準拠していることを確認し、潜在的なリスクを早期に明らかにします。