ACK One 登録済みクラスターを使用すると、オンプレミス Kubernetes クラスターまたは他のクラウドプロバイダーの Kubernetes クラスターを Alibaba Cloud Distributed Cloud Container Platform (ACK One) に統合し、ハイブリッドクラウド環境を迅速に構築できます。ACK One では、これらの Kubernetes クラスターを一元管理できます。このトピックでは、登録済みクラスターを使用する前の重要な考慮事項について説明します。
データセキュリティ
ACK One 登録済みクラスターでは、制限モードを使用できます。自己管理型 Kubernetes クラスターにデプロイされた
ack-cluster-agentコンポーネントは、次の動作をします。自身の ConfigMap 構成のみにアクセスします。
クラスターデータを読み取りません。
侵入型の書き込み操作を実行しません。
既存のワークロードへの影響をゼロにします。
ACK One 登録済みクラスターのパブリックエンドポイント経由でオンプレミス Kubernetes クラスターを接続する場合、ポート 6443 でリッスンする API サーバーの Server Load Balancer (SLB) にアクセスの制御を構成して、セキュリティリスクを回避します。
コンポーネント管理
ACK One 登録済みクラスターでは、ログ収集、監視、アラートなどのクラウドネイティブミドルウェア機能を自己管理型 Kubernetes クラスターにデプロイできます。ただし、これらのコンポーネントを使用する前に、特定のクラウドリソースにアクセスするための権限を付与する必要がある場合があります。権限を付与するには、AccessKey 情報を提供し、必要なクラウドリソースにアクセスするためのミドルウェア権限を付与し、AccessKey 情報を格納するための alibaba-addon-secret という名前のシークレットを作成します。詳細については、「登録済みクラスターに権限を付与する」をご参照ください。
ノードプール
ACK One 登録済みクラスターのノードプール機能を使用すると、自己管理型 Kubernetes クラスターのクラウド Elastic Compute Service (ECS) リソースをスケーリングできます。ノードプール機能が動作するには、次の要件が満たされていることを確認してください。
自己管理型 Kubernetes クラスターは、内部ネットワークを介して ACK One 登録済みクラスターに接続する必要があります。
オンプレミスコンテナネットワークプラグインはオンプレミスネットワークでのみ実行され、Terway プラグインは ECS インスタンスでのみ実行されるようにしてください。
自己管理型 Kubernetes クラスター内のノードを初期化するために使用するスクリプトが準備されている必要があります。
ネットワーク
自己管理型 Kubernetes クラスター/他のクラウドプロバイダーの Kubernetes クラスターと Alibaba Cloud 間の安定した接続性を確保します。自己管理型 Kubernetes クラスターがインターネット経由で Alibaba Cloud 上のリソースにアクセスする場合、タイムアウトなどの安定性の問題が発生する可能性があります。
ACK One 登録済みクラスターは、LoadBalancer タイプのサービスの作成または使用をサポートしていません。
その他
自己管理型 Kubernetes クラスターのバージョン、クラスターの初期化方法、およびノード構成は、Container Service for Kubernetes (ACK) クラスターのものとは異なります。たとえば、Container Storage Interface (CSI) や MetricServer などのコンポーネントで使用されるデフォルトのノード構成ファイルパスまたはポートは、外部 Kubernetes クラスターの構成とは異なります。その結果、これらのコンポーネントは、これらの自己管理型 Kubernetes クラスターで期待どおりに実行されない可能性があります。したがって、これらのコンポーネントの安定性は、お客様と ACK の共同責任となります。