VPC のアイドル IP アドレスが不足した場合、VPC にセカンダリ CIDR ブロックを追加し、そのブロック内に新しい vSwitch を作成できます。
セカンダリ CIDR ブロックを追加した後は、チケットを送信して、テクニカルサポートによる新規 CIDR ブロック向けコントロールプレーンの設定を行ってください。この設定が行われないと、コントロールプレーンがセカンダリ CIDR ブロック内の Pod に到達できず、以下の問題が発生します。
kubectl execまたはkubectl logsの実行失敗Webhook または APIService の呼び出し失敗
Pod やその他のリソースの作成失敗
前提条件
開始する前に、追加する CIDR ブロックを確認してください。
すでに使用中のすべての CIDR ブロックを確認します。これには、以下が含まれますが、これらに限定されません。
CIDR ブロック 確認方法 クラスターの VPC および vSwitch の CIDR ブロック クラスター情報 ページで、クラスターリソース タブをクリックします。任意の ID をクリックすると、VPC コンソールで詳細を表示できます。 クラスターの Service CIDR ブロック クラスター情報 ページで、基本情報 タブをクリックします。 VPC に接続された Express Connect 回線、VPN ゲートウェイ、Cloud Enterprise Network (CEN) インスタンスの CIDR ブロック 各対応するコンソールにログインして詳細を確認します。VPC コンソールでは、VPC ID をクリックし、リソース管理 タブに移動します。ネットワーク間通信 の下で、任意の数値をクリックすると関連コンソールが開きます。 上記リストに記載されている CIDR ブロックと重複しないセカンダリ CIDR ブロックを選択してください。
ステップ 1:セカンダリ CIDR ブロックの追加と vSwitch の作成
VPC コンソール にログインします。
セカンダリ CIDR ブロックを追加します。
VPC ページで、対象の VPC を見つけ、その ID をクリックします。
説明または、ACS クラスターの クラスター情報 ページに移動し、クラスターリソース タブをクリックして、VPC ID をクリックすることで、VPC 詳細ページに直接移動できます。
CIDR ブロック管理 タブをクリックし、セカンダリ IPv4 CIDR ブロックの追加 をクリックします。
ダイアログボックスで、カスタム CIDR ブロック フィールドに CIDR ブロックを入力し、OK をクリックします。
セカンダリ CIDR ブロック内に vSwitch を作成します。
vSwitch ページに移動し、vSwitch の作成 をクリックします。
vSwitch の作成 ページで、VPC およびセカンダリ CIDR ブロックを選択し、ゾーンと vSwitch CIDR ブロックを指定して、OK をクリックします。
ステップ 2:セカンダリ CIDR ブロック向けセキュリティグループルールの追加
ECS コンソール にログインします。
セキュリティグループ ページで、対象のセキュリティグループを見つけ、その ID をクリックします。
説明または、ACS クラスターの クラスター情報 ページに移動し、クラスターリソース タブをクリックして、セキュリティグループ ID をクリックします。
要件に応じて、セカンダリ CIDR ブロック向けのインバウンドおよびアウトバウンドルールを追加します。詳細については、「セキュリティグループルールの追加」をご参照ください。
ステップ 3:クラスターへの vSwitch の追加
ConfigMap acs-profile を更新して、ACS クラスターに新しい vSwitch を追加します。変更は即時反映されます。
以下の手順ではコンソールを使用します。代わりに、クラスター内で直接 kubectl edit configmap acs-profile -n kube-system を実行しても同様の変更が可能です。
ACS コンソール にログインします。左側ナビゲーションウィンドウで、クラスター をクリックします。
ACS クラスターの ID をクリックして、クラスター管理ページに移動します。
左側ナビゲーションウィンドウで、 を選択します。
ConfigMaps ページで、kube-system 名前空間を選択し、acs-profile を見つけ、YAML の編集 をクリックします。
vSwitchIdsセクションに新しい vSwitch の ID を追加し、OK をクリックします。説明vSwitch ID を複数指定する場合は、カンマ (,) で区切ります。
(任意)ステップ 4:新しい vSwitch 向け SNAT エントリの追加
ACS クラスターが SNAT 経由でインターネットにアクセスしており、SNAT エントリが個別の vSwitch にスコープ指定されている場合、新しい vSwitch 向けに SNAT エントリを追加してください。これを実施しないと、新しい vSwitch のゾーン内の Pod がインターネットにアクセスできなくなります。
NAT Gateway コンソール にログインします。
インターネット NAT Gateway ページで、NAT ゲートウェイの ID をクリックします。
SNAT 管理 タブをクリックし、SNAT エントリの作成 をクリックします。
新しい vSwitch 向けに SNAT エントリを設定し、OK をクリックします。
結果の検証
新しい vSwitch のゾーン内で Pod を作成します。Pod が正常に作成され、vSwitch CIDR ブロックから IP アドレスが割り当てられた場合、セカンダリ CIDR ブロックが正しく機能しています。
vSwitch の指定方法については、「vSwitch の指定」をご参照ください。