このトピックでは、コンソールでマネージドコンフィデンシャルコンピューティングクラスターを作成する方法について説明します。

始める前に

Container Service と Resource Access Management (RAM) が有効である必要があります。

Container Service コンソールRAM コンソールにログインして、これらのサービスをそれぞれ有効にする必要があります。

このタスクについて

クラスターを使用するときは、次の制限事項にご注意ください。
  • マネージドコンフィデンシャルコンピューティングクラスターを作成するには、表で必要に応じて以下のパラメーターを設定する必要があります。 設定しない場合、クラスターで Intel SGX アプリケーションを実行することはできません。
    パラメーター 推奨値
    Zone 現在、ECS Bare Metal インスタンス (ecs.ebmhfg5.2xlarge) のみがマネージドコンフィデンシャルコンピューティングクラスターをサポートしています。 選択したゾーンでこのインスタンスタイプが利用可能であることをご確認ください。
    Container Runtime Docker 18.09.2
    Instance Type [ECS Bare Metal インスタンスファミリー] の ecs.ebmhfg5.2xlarge
    Operating System AliyunLinux 2.xxxx
    Network Plug-in Flannel
    Custom Image [カスタムイメージ] を使用しないでください 。 使用すると、マネージドコンフィデンシャルコンピューティングが利用できない場合があります。

手順

  1. 左側のナビゲーションウィンドウから、[クラスター] > [クラスター] を選択します。 右上隅の [Kubernetes クラスターの作成] をクリックします。
  2. 表示されたクラスターテンプレートの選択ページで、マネージドコンフィデンシャルコンピューティングクラスターを選択します。[作成] をクリックして、[マネージド Kubernetes] ページへ移動します。
    クラスター設定ページ
  3. クラスター名を入力します。
    クラスター名は 1~63 文字である必要があります。数字、漢字、英字、ハイフン (-) が使用可能です。
  4. クラスターが展開されているリージョンを選択します。
  5. クラスターのネットワークタイプを設定します。 マネージド Kubernetes クラスターは VPC ネットワークのみをサポートしています。
    ドロップダウンリストから VPC ネットワークを選択することができます。 利用可能な VPC ネットワークがない場合、 [VPC を作成] をクリックして作成することができます。 詳細については、「 VPC の作成」をご参照ください。
    VPC
  6. Kubernetes バージョンとコンテナランタイムを選択します。
    マネージドコンフィデンシャルコンピューティングクラスターを作成するためのパラメーターは次のとおりです。 Kubernetes バージョン
    • ニーズに基づいて Kubernetes バージョンを選択します。
    • [マネージドコンフィデンシャルコンピューティング] フィールドで、[有効化] チェックボックスを選択します。
    • コンテナランタイムとして Docker を選択する必要があります。
  7. ワーカーノードを設定します。 インスタンスを作成するか、既存のインスタンスを追加するかを選択します。
    マネージドコンフィデンシャルコンピューティングクラスターを作成するには、ワーカーノードが ECS Bare Metal インスタンスである必要があります。 インスタンスタイプは ecs.ebmhfg5.2xlarge です。
    • インスタンスの作成を選択した場合、次のように設定する必要があります。
      ワーカーノードの設定
      • ノードタイプ: サブスクリプションと従量課金がサポートされています。
      • インスタンスタイプ: 現在、ECS Bare Metal インスタンスのみがマネージドコンフィデンシャルコンピューティングをサポートしています。 ecs.ebmhfg5.2xla rge インスタンスタイプは、Intel SGX アプリケーションをサポートしています。
      • 選択されたタイプ: 選択したインスタンスタイプ。 1 つ以上のインスタンスタイプを選択することができます。
      • 数量: 作成するワーカーノードの数。
      • システムディスク: SSD および ウルトラディスクがサポートされています。 既定値は 120 GiB です。
      • マウントデータディスク: SSD ディスク、ウルトラディスク、およびベーシックディスクがサポートされています。
    • 既存のインスタンスを追加する場合は、少なくとも 2 つのワーカーノードを追加する必要があります。
  8. オペレーティングシステムを設定します。 [AliyunLinux 2.xxxx] のみがサポートされています。
  9. ネットワークプラグインを選択します。 マネージドコンフィデンシャルコンピューティングを有効にするには、Flannel を選択する必要があります。
  10. [ポッドネットワーク CIDR][Service CIDR] を設定します。
    [ポッドネットワーク CIDR][Service CIDR] は、VPC ネットワークで使用される CIDR ブロック、または VPC ネットワークの既存のクラスターと重複させることはできません。 クラスターの作成後に CIDR ブロックを変更することはできません。 Service CIDR とポッドネットワーク CIDR を重複させることはできません。 詳細は、「 VPC での Kubernetes CIDR ブロックの設定」をご参照ください。
  11. VPC ネットワークの SNAT ルールを設定するかどうかを選択します。
    • 選択した VPC ネットワークに既に NAT ゲートウェイがある場合、Container Service はこの NAT ゲートウェイを使用します。
    • それ以外の場合、システムは自動的に NAT ゲートウェイを作成します。 NAT ゲートウェイの自動作成を希望しない場合は、[VPC 用 SNAT の設定] チェックボックスを解除します。 この場合、VPC ネットワークのインターネットアクセスを有効にするには、NAT ゲートウェイを手動で作成するか、SNAT ルールを設定する必要があります。 そうしない場合、クラスターを作成することができません。
  12. ストレージプラグインを設定します。 現在、Flexvolume と CSI がサポートされています。
    Kubernetes クラスターは、ポッドを介してクラウドディスク、NAS、および OSS に自動的にバインドできます。 詳細については、「 ストレージ管理 - Flexvolume」および「 ストレージ管理 - CSI」をご参照ください。
  13. 削除保護を有効にするかどうかを設定します。
    デフォルトでは、削除保護チェックボックスが選択されています。 これにより、コンソールおよび API 操作を介したクラスターの削除から保護されます。
  14. ノード保護を有効にするかどうかを設定します。
    ノード保護
    デフォルトでは、ノード保護チェックボックスは選択されています。 これにより、コンソールおよび API 操作を介したノードの削除から保護されます。
  15. ノードにラベルを添付します。
    キーと値を入力し、 [追加] をクリックします。
    • 各ラベルは、大文字と小文字が区別されるキーと値のペアで構成されています。 最大 20 のラベルを追加することができます。
    • キーは一意で、長さが 1~64 文字でなければなりません。
    • 値は空にすることもできます。長さは最大 63 文字です。
    • キーと値は、先頭文字列に 「aliyun」、「acs:」、「https://」、および「http://」を使用することはできません。 詳細については、「Labels and Selectors」をご参照ください。
  16. 詳細オプションを設定します。
    1. [Taints] を設定します。
      Taint
    2. [ユーザーデータ] を設定します。
      ノードの初期化後に実行されるカスタムスクリプトを入力することができます。

      Windows インスタンスは、バッチおよび PowerShell スクリプトをサポートしています。 Base64 エンコードを実行する前に、最初の行として [bat] または [powershell] を含める必要がありますのでご注意ください。 Linux インスタンスはシェルスクリプトをサポートしています。 サポートされている形式の詳細については、「cloud-init「と 「ユーザーデータ」をご参照ください。

      スクリプトファイルが 1 KB より大きい場合は、スクリプトを Object Storage Service (OSS) にアップロードし、OSS バケットの内部エンドポイントからプルすることを推奨します。

  17. [クラスターの作成] をクリックします。 表示される[確認] ダイアログボックスで、[OK]をクリックしてデプロイを開始します。
    クラスターの作成状況を確認できます。
    複数のノードを含む Kubernetes クラスターを作成するには、約 10 分かかります。

タスクの結果

クラスターが作成された後、コンソールの クラスターページでクラスターを見ることができます。 クラスターページ
[アクション] 列の [ログを表示] をクリックします。 表示される ログ情報ページで、クラスターログを表示することができます。 より詳細なログ情報の表示については、 [スタックイベント] をクリックします。 クラスターログの詳細
クラスターページで、新しく作成されたクラスターを見つけて、[アクション] 列で [管理] をクリックします。 表示されるページで、クラスターに関する基本情報を表示することができます。 クラスターの基本情報
クラスター情報には下記が含まれます。
  • API サーバーパブリックエンドポイント: Kubernetes API サーバーがインターネットにサービスを提供するために使用する IP アドレスとポート。 kubectl またはターミナル上での他のツールを使用してクラスターの管理が可能になります。

    EIP のバインドEIP のバインド解除: これらのオプションは、マネージド Kubernetes クラスターでのみ利用可能です。

    • EIP のバインド: 既存の EIP を選択するか、新しい EIP を作成することができます。

      API サーバーを EIP にバインドすると再起動します。 このプロセスの間、クラスターで操作を実行しないことを推奨します。

    • EIP のバインド解除: EIP のバインドを解除した後、インターネット経由で API サーバーにアクセスすることはできません。

      API サーバーは、EIP からバインド解除すると再起動します。 このプロセスの間、クラスターで操作を実行しないことを推奨します。

  • API サーバーイントラネットエンドポイント: Kubernetes API サーバーがクラスター内でサービスを提供する際の IP アドレスおよびポート番号。 IP アドレスは、クラスターに追加された SLB インスタンスに属しています。
  • ポッドネットワーク CIDR: クラスター内のポッドの CIDR ブロック。
  • Service CIDR: 外部に公開されているサービスの CIDR ブロック。
  • テストドメイン: サービスのテストに使用されるドメイン名。 ドメイン名のサフィックスは <cluster_id>.<region_id>.alicontainer.com です。
  • kube-proxy プロキシモード: サービス検出と負荷分散の実行に使用されるプロキシモード。 iptables と IPVS モードがサポートされています。
  • 各ノードのポッド: 単一のノードで実行できるポッドの最大数。 規定は 128 です。
  • ネットワークプラグイン: Flannel のみがサポートされています。
kubectl を利用した Kubernetes クラスターへの接続」と kubectl get node コマンドを実行し、クラスター内のノードに関する情報を表示します。 クラスターの表示