管理者のための学習パス
IBM Cloud® Kubernetes Service、クラスタの作成、クラスタのリソースとライフサイクルの管理、 IBM Cloud Kubernetes Service の強力なツールを使用したクラスタ・ワークロードのセキュア化、管理、および監視を行います。
環境の計画
ワークロードに合った最大の可用性と容量を得られるようにクラスターを設計することから始めます。
-
環境についての戦略:
- クラスターのための Kubernetes の戦略を定義します。例えば、環境に作成するクラスター数を決定したりします。
- セキュリティーの戦略を計画します。例えば、ネットワークのセグメンテーションやワークロードの分離を確保したりします。
-
クラスターのセットアップ: 環境を計画したら、具体的なクラスターのセットアップを計画します。
- サポート対象のインフラストラクチャー・プロバイダーを選択します。
- クラスタネットワークのセットアップを計画する。
- 高可用性が得られるようにクラスターを計画します。
- ワーカー・ノードのセットアップを計画します。
サーバーレスをお探しですか? Code Engine をお試しください。
クラスターを作成する
ユース・ケースとクラウド環境に合わせてインフラストラクチャー、ネットワーク、および可用性のセットアップをカスタマイズしたクラスターを作成します。
- ファイアウォール: 企業ファイアウォールがある場合は、必ず、IBM Cloud Kubernetes Service を使用できるように必要なポートと IP アドレスを開いてください。
- CLI および API:
- クラスターの作成と操作に必要な CLI をセットアップします。 クラスタで作業する際には、 コマンド・リファレンスを 参照し、 CLI変更ログで CLIバージョンの更新を追跡してください。
- オプションで、API による自動デプロイメントをセットアップします。 クラスタを操作する際には、 IBM Cloud Kubernetes Service APIリファレンスと Community Kubernetes APIリファレンスを参照してください。
- クラスター・デプロイメント:
- クラスターを作成します。
- クラスターが使用可能な状態になったら、クラスターにアクセスします。
- 複数のアベイラビリティー・ゾーンにクラスターを分散させます。 クラシック・クラスターへのワーカー・ノードの追加 または VPC クラスターへのワーカー・ノードの追加 を行います。
- ユーザー・アクセス:
- ユーザー・アクセスの戦略を計画して、許可されたクラスター・ユーザーもクラスターにアクセスできるようにします。
- ユーザーの正しいアクセス・ポリシーと役割を選択します。 クラスタインスタンス、 Kubernetes ネームスペース、またはリソースグループへのユーザアクセスの範囲を選択します。
お困りですか? クラスターおよびマスターのトラブルシューティングおよびワーカー・ノードのトラブルシューティングを参照してください。
ネットワークの管理
以下のオプションのトピックを参照して、クラスター・コンポーネントのネットワーク接続や他のネットワークへの接続を管理できます。 例えば、クラスターのワークロードを他のプライベート・ネットワークのワークロードに接続しなければならない場合などがあります。 また、クラスターのアプリを公開するロード・バランサー・サービスのために、追加のポータブル IP アドレスを用意しなければならなくなった場合なども、このセクションに戻ることになります。
- 他のネットワークおよびワークロードへの接続:
- クラシック・クラスターまたは VPC クラスターと、リモートのネットワーク環境や他の VPC などの間に、VPN 接続をセットアップします。
- クラスターから、要求ソース IP アドレスを保持する VPN ソリューション内のオンプレミス・ネットワークに応答をルーティングするには、カスタム静的ルートをオンプレミス・サブネットのワーカー・ノードに追加します。
- サブネット、サービス・エンドポイント、および VLAN:
- クラシック・クラスターまたは VPC クラスターで使用可能なサブネットおよび IP アドレスを追加または変更します。
- Kubernetes マスターにアクセス可能なサービス・エンドポイントを変更します。
- クラシック・クラスター: ワーカー・ノードの VLAN 接続を変更します。
クラスターの保護
標準装備のセキュリティー機能を使用して、クラスターのインフラストラクチャーとネットワーク通信を保護し、コンピュート・リソースを分離し、インフラストラクチャー・コンポーネントとコンテナー・デプロイメントにわたりセキュリティー・コンプライアンスを確保できます。
- セキュリティー戦略: まずは、クラスターで使用可能なすべてのセキュリティー・オプションを確認します。
- ネットワークのセキュリティー:
- クラシック・クラスター:
- ネットワーク・ワークロードを分離するために、ネットワーク・トラフィックをエッジ・ワーカー・ノードに制限できます。
- ゲートウェイ・アプライアンスまたはCalico ネットワーク・ポリシーを使用して、ファイアウォールをセットアップします。
- VPCクラスタ: VPCセキュリティグループを 使用して、クラスタへのトラフィックとクラスタからのトラフィックを制御します。
- クラシック・クラスター:
- ワークロードのセキュリティー:
- マスターのローカル・ディスクやシークレットなど、クラスター内の機密情報を暗号化します。
- Container Registry で提供されているようなプライベート・イメージ・レジストリーを開発者のためにセットアップして、レジストリーやプッシュ可能なイメージ・コンテンツへのアクセスを制御します。
- ポッドの優先度を設定して、クラスターのワークロードを構成する各ポッドの相対的な優先度を示します。
- ポッドセキュリティポリシー(PSP)を構成して、ポッドを作成および更新できるユーザを許可します。
ロギングおよびモニタリング
ロギングとモニタリングをセットアップすると、問題のトラブルシューティングや、Kubernetes クラスターとアプリの正常性とパフォーマンスの改善に役立ちます。
-
クラスタとアプリのロギング : IBM Cloud Logs などの ロギング・ソリューションを選択 し、コンテナ・ログとユーザー主導の管理アクティビティを監視する。
-
モニタリング: IBM Cloud® Monitoring などのモニタリング・ソリューションを選択して、アプリのパフォーマンスと正常性を運用面で可視化します。
お困りですか? ロギングとモニタリングのトラブルシューティングを参照してください。
レジストリーおよび CI/CD の追加
クラスターのためのイメージ・レジストリーと継続的統合/継続的デリバリー (CI/CD) パイプラインをセットアップします。
- レジストリー: 開発者がアプリのデプロイメント YAML ファイルでレジストリーからイメージをプルできるように、イメージ・レジストリーを選択してセットアップします。
- CI/CD:
- 使用可能なアプリ自動デプロイメント・オプションを確認します。
- IBM® Continuous Delivery Pipeline for IBM Cloud®を使用してツールチェーンをセットアップします。
ストレージの追加
アプリの要件、保管するデータのタイプ、そのデータにアクセスする頻度に基づき、可用性の高い永続ストレージを計画して追加します。
- 要件: ストレージ・ソリューションの要件を決定します。
- ソリューションの選択: ストレージ要件を基に、非永続ストレージ、単一ゾーン永続ストレージ、またはマルチゾーン永続ストレージを比較して、ストレージ・ソリューションを選択します。
お困りですか? 永続ストレージ・ソリューションに関するトラブルシューティング・ページを参照してください。
統合の追加
さまざまな外部サービスやカタログ・サービスを Kubernetes クラスターと統合して、クラスター機能を拡張します。
- サポートされている統合を確認します。
- クラスターにサービスを追加します。
お困りですか? アプリと統合のトラブルシューティングを参照してください。
ライフサイクルの管理
クラスターのライフサイクルのすべてのフェーズを通して、クラスターとワーカー・ノードを管理します。
- 自動スケーリング: スケジュールされたワークロードのサイズ変更要求に応じて、ワーカー・ノードの数を自動的に増減します。
- 更新: 頻繁にクラスター、ワーカー・ノード、クラスター・コンポーネントを更新して、環境を最新の状態に保ちます。 更新時には、バージョンについての以下のリファレンス・ページを参照してください。
- 削除: クラスターを削除し、関連するリソースをクリーンアップします。
お困りですか? クラスターとマスター、ワーカー・ノード、またはクラスター自動スケーリングのトラブルシューティングを参照してください。