AWS EKSで、Kubernetes(k8s)を利用

• AWSドキュメント

Amazon Elastic Kubernetes Service
Amazon EKSは、AWSでマネージド Kubernetes を実行するサービスです。

AWS EKSは、コントロールプレーンで、デプロイ・スケジューリング・スケーリングのオーケストレーション・アプリケーション管理を行います。
AWSのコントロールプレーンは、ECSかEKSを選ぶことができます。

EKSとECSの比較は AWSで使えるコンテナサービスの比較(ECS, EKS, Fargate) を参照してください。

• Kubernetesのバージョンアップに追従する必要があります。
  • 3カ月に１回リリース
  • 保証は1年間のみ
• クラスターのバージョンアップには、本番環境でも、ブルーグリーンデプロイメントと呼ばれるような、「現在の本番環境を維持したまま新しい本番環境を構築して、DNSの切り替えによって環境移行を行う」ようなオペレーションが必要になります。

Kubernetesクラスターのバージョンアップを行う際には同等の別環境を構築してバージョンアップの検証を行い、実際に本番環境のバージョンアップを行う際にはアップデートの失敗を考慮してブルーグリーンデプロイメントと呼ばれるような、「現在の本番環境を維持したまま新しい本番環境を構築して、DNSの切り替えによって環境移行を行う」ようなオペレーションが必要になります。

AWSでコンテナを支えるサービスについて ECS、EKS、Fargateの違いは？　第２回（最終回） | SunnyCloud
ticles/YKIlSRAAACYANEW9|AWSのコンテナについて初心者にも分かりやすく解説！ | アンドエンジニア]]

• CloudWatch Container Insights未対応
• DaemonSetも使えないです。
• Priviledgedコンテナ未対応

• Kubernetes(k8s)を利用できる。

• AWS標準CLIツール

• 公式のEKSクラスタ構築用CLIツール
• AWS CLIとkubectlコマンドもインストールされている必要があります。
• クラスタ構築時、eksctlはコマンド1つで関連するVPC/Subnet/SG/IAM,Workerノードなどを自動的に生成してくれる。

• VPC
• サブネット (パブリック×3、プライベート×3)
• インターネットゲートウェイ
• NATゲートウェイ

• コントロールプレーン (または、狭義の「クラスター」)
• コントロールプレーン用セキュリティグループ
• コントロールプレーン用IAMロール

• EC2起動テンプレート
• EC2 Auto Scalingグループ
• ワーカーノード用セキュリティグループ
• ワーカーノード用IAMロール

• 公式 クラスター VPC に関する考慮事項

• 2つ以上のAZ
• パブリックサブネットは、ELBやNAT Gatewayを設置
• プライベートサブネットは、ワーカーノードを配置

公式 Amazon EKS ワーカーノードの謎を解くクラスターネットワーク | Amazon Web Services ブログ

CNI(Container Network Interface)

EKSではAmazon VPC CNI plugin for KubernetesというネイティブなVPCを利用可能とするプラグインを用いることで、VPCネットワーク上と同じIPをPodに割り当てることなります。つまり、PodはVPC上のIPを利用して通信するため、Podの起動数がVPCで利用可能なIP数に依存するということになります。

https://cloudfish.hatenablog.com/entry/2019/12/09/224246

https://labs.gree.jp/blog/2020/01/20271/
ワーカーノード起動時にまとまった数の IP アドレスが確保されます。
起動時に確保する数(デフォルト)は、以下の表のようにインスタンスタイプごとに異なります

Pod の起動時は、確保されたセカンダリ IP アドレスが割り当てられて、Pod 間や VPC 内の他のサービスとネイティブで通信できるようになります。

• 公式 Amazon EKS ワーカーノードの謎を解くクラスターネットワーク | Amazon Web Services ブログ
• 公式 クラスター VPC に関する考慮事項

インプレースアップグレードをやり、問題があったら、クラスタマイグレーションを行うのがよいです。

• 既存のクラスターをそのまま使う
• ノードを順番に入れ替え
• Rolling upgrade
• コンソールからポチポチやればよいので、簡単。
• 通常１つのバージョンアップしか対応していない。(1.14 → 1.15)

• 既存のクラスターは使わず新しいクラスタを立てる
• リソースを新クラスターにコピー
• Blude/Green Deploy
• バージョンアップの制限なくできる(1.14 → 1.20)

Amazon EKS は、クラスターの更新時に Kubernetes アドオンを変更しません。
クラスターの更新後、更新後の新しいバージョンの Kubernetes 用に、アドオンを指定さえているバージョンに更新することをお勧めします。

• Amazon VPC CNI プラグイン
• DNS (CoreDNS)
• KubeProxy

ノードグループがPrivateセグメントにある場合、Publicセグメントに配置したNAT Gateway経由でアクセスすることもできます。

EKSコントロールプレーンの設定で「APIサーバーエンドポイント」の「プライベートアクセス」を有効にするというものです。
プライベートアクセスを有効にすると、ノードグループが配置されるプライベートサブネット上に専用のネットワークインターフェイス (ENI) が作成され、
プライベートサブネットからAPIサーバーエンドポイントに対して直接通信が行えるようになります。

[アップデート] EKSでマネージドノードグループをデプロイする際のパブリックIPアドレス付与の挙動が変更されました | DevelopersIO

クラスター内のServiceに対する外部からのアクセス(主にHTTP)を管理するAPIオブジェクトです。

https://github.com/kubernetes-sigs/aws-load-balancer-controller

How AWS Load Balancer controller works
https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.2/how-it-works/

• Amazon EKS - Qiita
• コンテナサービス「Amazon EKS」とは？実際に使用してみた｜コラム｜クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本
• EKSで構築するグリーの エンターテイメントシステム PDF
• スマホゲームの API サーバにおける EKS の運用事例 | エンジニアブログ | GREE Engineering
• AWS EKSを使う時の注意点と見ておくべきドキュメントまとめ - フラミナル