IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

Amazon EKSの魅力を探る

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

第3回 Amazon EKSの機能 (土屋 大輔) 2024年2月

前回までの連載で、EKSはKubernetesクラスタを簡単に作成・運用することができるサービスであることを紹介しました。クラスタに必要なマスタノードはAWSによって構築・運用をフルマネージドで実施し、ワーカーノードも利用者側で簡単に構築・運用でき、Kubernetes標準のクラスタ作成の場合と比べて非常に簡単に行うことができます。

ただ、EKSでクラスタを作成するメリットはそれだけではありません。AWSの様々なサービスと組み合わせることで、Kubernetes標準の方法でクラスタを作成した場合と比較して簡単にクラスタに特定の機能を実装できます。第3回では、その中でも代表的な機能を紹介します。

1. ノードのKubernetesのバージョンアップ

Kubernetesは頻繁にバージョンアップされ、新バージョンリリース後のサポート期間も短いため、クラスタ運用においてマスタノード・ワーカーノードにインストールされているKubernetesのバージョンアップ作業は避けて通ることができません。Kubernetes標準の方法でクラスタを作成した場合、バージョンアップには様々なコマンドを実行する必要があり、大規模なシステムでクラスタのノード数が多いとその手間も更に増えてしまいます。また、Kubernetesのバージョンアップに伴いクラスタにインストールされているアドオン(クラスタに特定の機能を実装するソフトウェア)のバージョンアップも必要となる場合が多いです。

それに対し、EKSでクラスタを作成した場合はノードにインストールされているKubernetesのバージョンアップは非常に簡単です。マスタノードはEKSの画面でマウス操作を行いバージョンアップの指示をするだけでバージョンアップを行えます。同様に、ワーカーノードもEKSの画面でマウス操作だけで簡単にバージョンアップを行えます。

fig01

図1: EKSでのマスタノードのバージョンアップの画面
(「今すぐ更新」のリンクをクリックし、どのバージョンにするか指示するだけで簡単に行えます)

2. 監視機能の実装(メトリクス情報の収集)

Kubernetes標準の方法でクラスタを作成した場合、クラスタで動作しているノードやPodのメトリクス情報(性能や死活の状態を数値で表した情報)を収集するにはPrometheusを使用するのが一般的です。ただ、Prometheusでメトリクス情報を収集するにはクラスタの作成後、所定のコマンド群を実行しPrometheusのインストールと初期設定を行う必要があります。

それに対してEKSでクラスタを作成する場合は、クラスタの作成画面で「Send Prometheus metrics to Amazon Managed Service for Prometheus」チェックを入れてクラスタを作成し、その後所定のPrometheusの初期設定をするとAmazon Managed Service for Prometheus(AWSのPrometheusのマネージドサービス)でメトリクスを収集・確認できるようになります。

fig02

図2: EKSクラスタの作成画面のAmazon Managed Service for Prometheusに
メトリクスを送信できるようにするためのチェックボックス

Kubernetes標準の方法で作成したクラスタより初期設定で実施する作業が少なく、クラスタ側にPrometheusのエージェントを入れる必要もないため、簡単にPrometheusでクラスタのメトリクス情報を収集できるようになります。

3. クラスタで動作するノード・コンテナの脆弱性検出

Kubernetes標準の方法でクラスタを作成した場合、ノード・コンテナの脆弱性の検出を開始するには専用のソフトウェアのインストールやサービスを利用します。それに対してEKSでクラスタを作成した場合は、AWSの脆弱性スキャニングのマネージドサービスの「Amazon GuardDuty」で簡単に行えます。

①マスタノードの脆弱性スキャニングの開始

Amazon GuardDutyの画面から「EKS 監査ログのモニタリング」を有効にすると、マスタノードのログを参照し脆弱性スキャニングを開始することができます。

fig03

図3:「EKS 監査ログのモニタリング」の有効化の画面

②ワーカーノードの脆弱性スキャニングの開始

EKSでクラスタを作成する際に、「Amazon GuardDuty EKS Runtime Monitoring」のアドオンをインストールすると、ワーカーノードやワーカーノードで動作しているコンテナの脆弱性スキャニングを開始できます。

fig04

図4: アドオン「Amazon GuardDuty EKS Runtime Monitoring」のインストール画面

検出可能な脆弱性はトロイの木馬からビットコインの採掘やC&C ツール、リバースバックドアシェルなど乗っ取られた後によくインストールされてしまうツールの動作検知から、標準的な振る舞い検知まで可能です。

- Runtime Monitoring finding types
https://docs.aws.amazon.com/guardduty/latest/ug/findings-runtime-monitoring.html

まとめ

「Amazon EKS の魅力を探る」の連載は今回でひとまず終了です。EKS には他にも通常のKubernetes にはない強力で便利な機能が多く実装されています。また、Kubernetes 自体にも非常に魅力的な機能が豊富にあります。今後は定期的によりディープなEKS/Kubernetes の機能を紹介していきたいと思います。EKS/Kubernetes にご興味がある方は今後もぜひご参照いただけますと大変幸いです。
ここまでお付き合いいただきありがとうございました。

 


 

Amazon EKSをもっと学ぶ

AWS認定トレーニング
Running Containers on Amazon Elastic Kubernetes Service (Amazon EKS)

Amazon EKS を使用すると、Kubernetes コントロールプレーンをインストール、運用、保守することなく、AWS で Kubernetes を簡単に実行できます。このコースでは、Amazon EKS を使用した Kubernetes のコンテナ管理とオーケストレーションについて学習します。

コースの詳細・開催スケジュール		 CTC教育サービスは、AWS認定トレーニングパートナー(ATP)です。
前回のコラム
「第2回 Amazon EKSの概要」

CTC教育サービス 関連コース

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  Microsoft Azure  Docker  Kubernetes 

「Amazon EKSの魅力を探る」コラム一覧へ

コラム一覧へ