すべてのプロダクト
Search

このプロダクト

    Container Compute Service:VPC にセカンダリ CIDR ブロックを追加してクラスタのアドレス空間を拡張する

    ドキュメントセンター

    Container Compute Service:VPC にセカンダリ CIDR ブロックを追加してクラスタのアドレス空間を拡張する

    最終更新日:Dec 27, 2024

    ACS クラスタが使用できる CIDR ブロックと IP アドレスは、ACS クラスタの VPC によって制限されます。 VPC に十分なアイドル IP アドレスがない場合は、VPC にセカンダリ CIDR ブロックを追加できます。

    重要

    VPC にセカンダリ CIDR ブロックを追加した後、チケットを送信してテクニカルサポートに連絡し、コントロールプレーンを適切に構成してください。 そうしないと、コントロールプレーンはセカンダリ CIDR ブロックにあるポッドにアクセスできません。 これにより、以下を含むがこれらに限定されない特定の問題が発生する可能性があります。

    • kubectl exec または kubectl logs の実行の失敗。

    • Webhook または APIService 呼び出しの失敗。

    • ポッドまたはその他のリソースの作成の失敗。

    始める前に

    追加する CIDR ブロックを確認します。

    1. 使用中の CIDR ブロックを確認します。

      CIDR ブロックには、表に記載されているものを含みますが、これらに限定されません。

      CIDR ブロック

      説明

      クラスタの VPC および vSwitch CIDR ブロック。

      ACS クラスタの クラスタ情報 ページで、クラスタリソース タブをクリックします。 クラスタの VPC と vSwitch を表示できます。 ID をクリックして VPC コンソールにログインし、詳細を表示できます。

      クラスタのサービス CIDR ブロック。

      ACS クラスタの クラスタ情報 ページで、基本情報 タブをクリックします。 クラスタのサービス CIDR ブロックを表示できます。

      クラスタの VPC に接続されている Express Connect 回線、VPN ゲートウェイ、およびクラウドエンタープライズネットワーク (CEN) インスタンスを介した接続の CIDR ブロック。

      対応するコンソールにログインして詳細を表示します。

      VPC コンソールで、目的の VPC の ID をクリックして詳細ページに移動します。 リソース管理 タブの ネットワーク間の通信 セクションで、Express Connect、VPN、および CEN 情報を表示できます。 番号をクリックして対応するコンソールにログインし、詳細を表示します。

    2. 上記の CIDR ブロックと重複しない CIDR ブロックを選択し、この CIDR ブロックを VPC のセカンダリ CIDR ブロックとして使用します。

    手順

    ステップ 1: セカンダリ CIDR ブロックを追加して vSwitch を作成する

    1. VPC コンソール にログインします。

    2. セカンダリ CIDR ブロックを追加する

      1. VPC ページで、VPC を見つけて ID をクリックします。

        説明

        ACS クラスタの クラスタ情報 ページに移動し、クラスタリソース タブをクリックすることもできます。 次に、VPC ID をクリックして VPC 詳細ページに移動します。

      2. CIDR ブロック管理 タブをクリックし、セカンダリ Ipv4 CIDR ブロックの追加 をクリックします。

      3. 表示されるダイアログボックスで、カスタム CIDR ブロック に目的の CIDR ブロックを入力し、OK をクリックします。

    3. セカンダリ CIDR ブロックに vSwitch を作成します。

      1. vSwitch ページに移動し、Vswitch の作成 をクリックします。

      2. Vswitch の作成 ページで、VPC とセカンダリ CIDR ブロックを選択し、vSwitch のゾーンと CIDR ブロックを指定して、OK をクリックします。

    ステップ 2: セカンダリ CIDR ブロックを許可するセキュリティグループルールを追加する

    1. ECS コンソール にログインします。

    2. セキュリティグループ ページで、セキュリティグループを見つけて ID をクリックします。

      説明

      ACS クラスタの クラスタ情報 ページに移動し、クラスタリソース タブをクリックして、セキュリティグループ ID をクリックして詳細ページに移動することもできます。

    3. ビジネス要件に基づいて、セカンダリ CIDR ブロックのインバウンドルールとアウトバウンドルールを追加します。

      詳細については、セキュリティグループルールの追加 を参照してください。

    ステップ 3: クラスタに vSwitch を追加する

    acs-profile を更新して、ACS クラスタに vSwitch を追加できます。 更新はリアルタイムで有効になります。

    説明

    次の手順はコンソールで実行されます。 クラスタに接続し、kubectl edit configmap acs-profile -n kube-system コマンドを実行して acs-profile を更新することもできます。

    1. ACS コンソール にログインします。 左側のナビゲーションペインで、クラスタ をクリックします。

    2. ACS クラスタの ID をクリックして、クラスタ管理ページに移動します。

    3. 左側のナビゲーションペインで、構成 > Configmap を選択します。

    4. Configmap ページで、kube-system ネームスペースを選択し、acs-profile を見つけて、YAML の編集 をクリックします。

    5. vSwitchIds セクションに新しい vSwitch の ID を入力し、OK をクリックします。

      説明

      vSwitch ID はコンマ (,) で区切ります。

    (オプション) ステップ 4: SNAT エントリを追加する

    ACS クラスタが SNAT 経由でインターネットにアクセスする場合、vSwitch を追加した後に SNAT 構成を確認する必要があります。

    たとえば、SNAT エントリのスコープが vSwitch に設定されている場合は、新しい vSwitch の SNAT エントリを追加する必要があります。 そうしないと、新しい vSwitch のゾーンにあるポッドはインターネットにアクセスできません。

    1. NAT ゲートウェイコンソール にログインします。

    2. インターネット NAT ゲートウェイ ページで、管理する NAT ゲートウェイの ID をクリックします。

    3. SNAT 管理 タブで、SNAT エントリの作成 をクリックします。

    4. 新しい vSwitch の SNAT エントリを追加し、OK をクリックします。

    結果の確認

    新しい vSwitch のゾーンにポッドを作成します。 ポッドが作成され、vSwitch から IP アドレスが割り当てられている場合、セカンダリ CIDR ブロックが有効になります。 vSwitch を指定する方法については、vSwitch の指定 を参照してください。