自己管理ノードの動的グループおよびポリシーの作成
自己管理ノードをホストするコンピュート・インスタンスが、Kubernetes Engineで作成された拡張クラスタに参加できるようにする動的グループおよびポリシーを作成する方法をご紹介します。
自己管理ノードを作成する前に、次のことを行う必要があります:
- クラスタに自己管理ノードとして追加するコンピュート・インスタンスを含む新しい動的グループを作成します
- 動的グループのポリシーを作成し、そのポリシー・ステートメントを使用して、動的グループのコンピュート・インスタンスが既存のKubernetesクラスタに参加できるようにします
コンソールを使用して新しい動的グループおよび適切なポリシーを作成するには:
-
クラスタに自己管理ノードとして追加するコンピュート・インスタンスを含む新しい動的グループを作成します:
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。「アイデンティティ・ドメイン」で、「動的グループ」を選択します。
- 動的グループを作成するにはの手順に従って、動的グループに名前を付けます(たとえば、
acme-oke-self-managed-node-dyn-grp)。 -
コンパートメント内のコンピュート・インスタンスを含むルールを次の形式で入力します:
ALL {instance.compartment.id = '<compartment-ocid>'}<compartment-ocid>は、クラスタが属するコンパートメントのOCIDです。例:
ALL {instance.compartment.id = 'ocid1.compartment.oc1..aaaaaaaa23______smwa'} - 「動的グループの作成」をクリックします。
- 動的グループ内のコンピュート・インスタンスが既存のKubernetesクラスタに参加できるようにするポリシー・ステートメントを使用して、動的グループのポリシーを作成します:
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。
- ポリシーを作成するにはの説明に従って、ポリシーに名前を付けます(たとえば、
acme-oke-self-managed-node-policy)。 -
動的グループのコンピュート・インスタンスがクラスタに参加できるようにするポリシー・ステートメントを次の形式で入力します:
Allow dynamic-group <dynamic-group-name> to {CLUSTER_JOIN} in compartment <compartment-name>ここでは:
<dynamic-group-name>は、以前に作成した動的グループの名前です。たとえば、acme-oke-self-managed-node-dyn-grpです。動的グループがデフォルトのアイデンティティ・ドメインにない場合は、dynamic-group '<identity-domain-name>'/'<dynamic-group-name>'の形式で、動的グループ名の前にアイデンティティ・ドメイン名を追加します。dynamic-group id <dynamic-group-ocid>の形式で、そのOCIDを使用して動的グループを指定することもできます。<compartment-name>は、クラスタが属するコンパートメントの名前です。たとえば、acme-oke-cluster-compartmentです
例:
Allow dynamic-group acme-oke-self-managed-node-dyn-grp to {CLUSTER_JOIN} in compartment acme-oke-cluster-compartmentこのポリシー・ステートメントが許容しすぎると考えられる場合は、次の形式でポリシー・ステートメントを入力することで、管理対象ノードを追加するクラスタを明示的に指定する権限を制限できます:
Allow dynamic-group <dynamic-group-name> to {CLUSTER_JOIN} in compartment <compartment-name> where { target.cluster.id = "<cluster-ocid>" } - 「作成」をクリックして、新しいポリシーを作成します。