翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Kubernetes DaemonSet を使用して Amazon EKS ワーカーノードに SSM エージェントをインストールします
*Amazon Web Services、Mahendra Revanasiddappa*
## 概要
**注、2021 年 9 月:**Amazon EKS に最適化された最新の AMI では SSM エージェントが自動的にインストールされます。詳細については、[リリースノート](https://github.com/awslabs/amazon-eks-ami/releases/tag/v20210621)の「June 2021 AMI」セクションを参照してください。
Amazon Elastic Kubernetes Service (Amazon EKS) では、セキュリティガイドラインにより、ワーカーノードにはSecure Shell (SSH) キーペアがアタッチされていません。このパターンは、手動でインストールしたり、ノードの Amazon マシンイメージ (AMI) を置き換えたりする代わりに、Kubernetes DaemonSet リソースタイプを使用して AWS Systems Manager Agent (SSM Agent) をすべてのワーカーノードにインストールする方法を示しています。DaemonSet はワーカーノードの cron ジョブを使用して SSM エージェントのインストールをスケジュールします。このパターンを使用して他のパッケージをワーカーノードにインストールすることもできます。
クラスター内の問題をトラブルシューティングする場合、SSM Agent をオンデマンドでインストールすると、SSH キーペアがなくても、ワーカーノードとの SSH セッションの確立、ログの収集、またはインスタンス設定の確認が可能になります。
## 前提条件と制限
**前提条件**
+ Amazon Elastic Compute Cloud (Amazon EC2) ワーカーノードを備えた既存の Amazon EKS クラスター。
+ コンテナインスタンスには、SSM サービスと通信するために必要な許可がなければなりません。AWS Identity と Access Management (IAM) マネージドロール 「**AmazonSSMManagedInstanceCore**は、EC2 インスタンスで SSM エージェントを実行するために必要な許可を提供します。詳細については、[ AWS Systems Manager のドキュメント](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)を参照してください。
**制限事項**
+ DaemonSets は Fargate プラットフォームではサポートされていないため、このパターンは AWS Fargate には適用されません。
+ このパターンは Linux ベースのワーカーノードにのみ適用されます。
+ DaemonSet ポッドは特権モードで実行されます。Amazon EKS クラスターに特権モードでポッドをブロックするウェブフックがある場合、SSM エージェントはインストールされません。
## アーキテクチャ
このパターンのアーキテクチャを以下に図で示します。
![\[Kubernetes DaemonSet を使用して Amazon EKS ワーカーノードに SSM エージェントをインストールします。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/016d53f3-45c1-4913-b542-67124e1462b8/images/3a6dfd00-e54b-44d5-843a-4c26ce9826c9.png)
## ツール
**ツール**
+ 「[kubectl](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html)」は、Amazon EKS クラスターを操作するために使用されるコマンドラインユーティリティです。このパターンは`kubectl`を使用して Amazon EKS クラスターに DaemonSet をデプロイします。これにより、SSM エージェントがすべてのワーカーノードにインストールされます。
+ [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) は、独自の Kubernetes コントロールプレーンまたはノードをインストール、操作、維持することなく、 で Kubernetes を簡単に実行できるようにするマネージドサービスです。Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を自動化するためのオープンソースシステムです。
+ [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) は、EC2 インスタンス、オンプレミスインスタンス、仮想マシン (VM) を、インタラクティブなワンクリックブラウザベースのシェルまたは AWS コマンドラインインターフェイス (AWS CLI) を介して管理できます。
**Code**
次のコードを使用して、Amazon EKS クラスターに SSM エージェントをインストールする DaemonSet 設定ファイルを作成します。「[エピック](#install-ssm-agent-on-amazon-eks-worker-nodes-by-using-kubernetes-daemonset-epics) 」セクションの指示に従います。
```
cat << EOF > ssm_daemonset.yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
labels:
k8s-app: ssm-installer
name: ssm-installer
namespace: kube-system
spec:
selector:
matchLabels:
k8s-app: ssm-installer
template:
metadata:
labels:
k8s-app: ssm-installer
spec:
containers:
- name: sleeper
image: busybox
command: ['sh', '-c', 'echo I keep things running! && sleep 3600']
initContainers:
- image: amazonlinux
imagePullPolicy: Always
name: ssm
command: ["/bin/bash"]
args: ["-c","echo '* * * * * root yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm & rm -rf /etc/cron.d/ssmstart' > /etc/cron.d/ssmstart"]
securityContext:
allowPrivilegeEscalation: true
volumeMounts:
- mountPath: /etc/cron.d
name: cronfile
terminationMessagePath: /dev/termination-log
terminationMessagePolicy: File
volumes:
- name: cronfile
hostPath:
path: /etc/cron.d
type: Directory
dnsPolicy: ClusterFirst
restartPolicy: Always
schedulerName: default-scheduler
terminationGracePeriodSeconds: 30
EOF
```
## エピック
### kubectl のセットアップ
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| EKS クラスターにアクセスするように kubectl をインストールして設定します。 | `kubectl`がまだインストールされておらず、Amazon EKS クラスタにアクセスするように構成されていない場合、Amazon EKS ドキュメントの「[kubectl のインストール](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html)」を参照してください。 | DevOps |
### DaemonSet をデプロイ
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| DeamonSet設定ファイルを作成します。 | このパターンの前述の「[コード](#install-ssm-agent-on-amazon-eks-worker-nodes-by-using-kubernetes-daemonset-tools)」セクションのコードを使用して、`ssm_daemonset.yaml`という名前の DaemonSet 設定ファイルを作成します。このファイルは Amazon EKS クラスターにデプロイされます。DaemonSet によって起動されるポッドには、メインコンテナと`init`コンテナがあります。メインコンテナには`sleep`コマンドがあります。`init`コンテナには、パス`/etc/cron.d/`に SSM Agent をインストールするための cron ジョブファイルを作成する`command`セクションが含まれています。cron ジョブは 1 回だけ実行され、作成されるファイルはジョブの完了後に自動的に削除されます。init コンテナが終了すると、メインコンテナは 60 分間待機してから終了します。60 分後、新しいポッドが起動します。このポッドは、SSM エージェントがない場合はインストールするか、SSM エージェントを最新バージョンに更新します。必要であれば、`sleep`コマンドを変更して、ポッドを1日1回再起動したり、もっと頻繁に実行したりすることができる。 | DevOps |
| DaemonSet を Amazon EKS クラスターにデプロイします。 | 前のステップで作成した DaemonSet 設定ファイルを Amazon EKS クラスターにデプロイするには、次のコマンドを使用します。kubectl apply -f ssm_daemonset.yaml
このコマンドは、ワーカーノードでポッドを実行して SSM Agent をインストールする DaemonSet を作成します。 | DevOps |
## 関連リソース
+ [kubectl のインストール](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html) (Amazon EKS ドキュメント)
+ [セッションマネージャーのセットアップ](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html) (AWS Systems Manager ドキュメント)