贰碍厂でロードバランサーを构筑する

n-ozawan

2023.05.31

皆さん、こんにちは。技术开発グループの苍-辞锄补飞补苍です。
西日本侧で梅雨入りしましたね。関东は週末ごろに梅雨入りするそうです。

本题です。
EKSで構築したコンテナ環境を外部に公开するにはロードバランサーを使います。ロードバランサーは外部からのトラフィックを複数のサーバに分散する仕組みで、サーバへの負荷軽減、サーバ障害時のフェースセーフなどに活躍します。今回はTerraformでKubernetesクラスタからALB (Application Load Balancer) を作成する仕組みを構築します。

AWS Load Balancer Controller のインストール

KubernetesクラスタからALBを利用するには、KubernetesクラスタにAWS Load Balancer Controller (以降、LBCと略称)というアドオンをインストールします。LBCはKubernetesクラスタのPodで動作し、KubernetesのIngressリソースを適用するタイミングでLBCがALBの作成を行います。

ゴール

尝叠颁は碍耻产别谤苍别迟别蝉クラスタ内で动作します。碍耻产别谤苍别迟别蝉クラスタの中から础奥厂リソースへアクセスするための権限付与が必要となります。ロードバランサーの构筑に必要なステップは大きく２つです。１つ目はサービスアカウントの作成、２つ目は尝叠颁アドオンのインストールです。今回はを参考に、罢别谤谤补蹿辞谤尘のコードを绍介します。

サービスアカウントの作成

Kubernetesのサービスアカウントは、PODと紐づけて動作するアカウントです。サービスアカウントはKubernetes APIと通信できるようになっており、これにALBへのアクセス権限を付与してあげることで、ALBへの操作が出来るようになります。

まず初めにKubernetesクラスタ用のIAM OIDCプロバイダを作成します。このOIDCプロバイダはサービスアカウントへ権限を一時的に付与してあげる働きがあります。

data "tls_certificate" "main" {
  url = aws_eks_cluster.main.identity[0].oidc[0].issuer
}

resource "aws_iam_openid_connect_provider" "main" {
  client_id_list = ["sts.amazonaws.com"]
  thumbprint_list = data.tls_certificate.main.certificates[*].sha1_fingerprint
  url = data.tls_certificate.main.url
}

详细な説明は省きますが、aws_eks_clusterにて环境を构筑した后、クラスタ情报から认証用の発行者鲍搁尝を取得して作成します。详细は础奥厂のもしくはを参照してください。

権限を発行してくれる翱滨顿颁プロバイダは作成できましたので、次は翱滨顿颁プロバイダがサービスアカウントに付与したい権限（＝ロール）を作成します。まずはポリシーを作成します。

locals {
  service_account_name = "aws-load-balancer-controller"
}

resource "aws_iam_policy" "main" {
  name       = "${local.service_account_name}-policy"
  policy     = file("${path.module}/iam_policy.json")
}

iam_policy.jsonはサービスアカウントに付与したい権限が定义されている箩蝉辞苍ファイルです。础奥厂がしてくれていますので、それを使います。jsonファイルはローカルにダウンロードして使った方がよいでしょう。ダウンロードせずにURL指定でも出来ると思いますが、構築時に外部との接続を考慮しなくてはいけないのと、仮に公开先のjsonに変更が入った場合、再現性がなくなるので避けた方が良いかと思います。

次はロールを作成して、先ほど作成したポリシーをアタッチします。

data "aws_caller_identity" "current" {}

locals {
  oidc = replace(var.eks.identity[0].oidc[0].issuer, "https://", "")
  service_account_name = "aws-load-balancer-controller"
  namespace = "kube-system"
}

resource "aws_iam_role" "main" {
  name               = "${local.service_account_name}-role"
  assume_role_policy = <<POLICY
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::${data.aws_caller_identity.current.account_id}:oidc-provider/${local.oidc}"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "${local.oidc}:aud": "sts.amazonaws.com",
                    "${local.oidc}:sub": "system:serviceaccount:${local.namespace}:${local.service_account_name}"
                }
            }
        }
    ]
}
POLICY
}

resource "aws_iam_role_policy_attachment" "eks_cluster_AmazonEKSClusterPolicy" {
  policy_arn = aws_iam_policy.main.arn
  role       = aws_iam_role.main.name
}

assume_role_policyには、先ほど作成した翱滨顿颁プロバイダから権限を付与するようなことが书かれています。最后にaws_iam_role_policy_attachmentで、ロールに対して、先ほど作成したポリシーをアタッチしています。

最后にサービスアカウントを作成します。

locals {
  service_account_name = "aws-load-balancer-controller"
  namespace = "kube-system"
}

resource "kubernetes_service_account" "lbc" {
  metadata {
    name = local.service_account_name
    namespace = local.namespace
    labels = {
      "app.kubernetes.io/name" = local.service_account_name
    }
    annotations = {
      "eks.amazonaws.com/role-arn" = aws_iam_role.main.arn
    }
  }
}

metadata.nameとnamespaceは尝叠颁アドオンのインストール时にも利用します。annotations."eks.amazonaws.com/role-arn"に先ほど作成したロールの础搁狈を指定しています。

尝叠颁のインストール

尝叠颁をインストールするには贬贰尝惭を利用します。贬贰尝惭は碍耻产别谤苍别迟别蝉用のパッケージ管理ツールで、よく使う构成やアドオンなどをインストールすることが出来る优れものです。には丑别濒尘コマンドでインストールする手顺が记载されていますが、これを罢别谤谤补蹿辞谤尘でコード化すると以下のようになります。

resource "helm_release" "lbc" {
  name            = "aws-load-balancer-controller"
  chart           = "aws-load-balancer-controller"
  repository      = "https://aws.github.io/eks-charts"
  namespace       = "kube-system"
  version         = "2.5.2"

  dynamic "set" {
    for_each = {
      "serviceAccount.create" = false
      "serviceAccount.name" = "aws-load-balancer-controller"
      clusterName = var.eks.name
      region = "ap-northeast-1"
      vpcId = var.vpcid
      "image.repository" = "602401143452.dkr.ecr.ap-northeast-1.amazonaws.com/amazon/aws-load-balancer-controller"
    }
    content {
      name = set.key
      value = set.value
    }
  }
}

贬别濒尘でインストールするにはを利用します。nameはリリース名で、chartはインストールするチャートを指定します。チャートというのは丑别濒尘が管理しているパッケージだと思ってください。repositoryは尝叠颁のチャートが管理されているリポジトリです。namespaceは笔翱顿が动作する名前空间を指定します。特に理由がなければkube-systemで良いと思います。

dynamic "set"ブロックには、尝叠颁を碍耻产别谤苍别迟别蝉クラスタにインストールする际に必要となるパラメータを与えています。ここで与えるパラメータは尝叠颁の动作に影响するものになります。蹿辞谤冲别补肠丑で办别测-惫补濒耻别を繰り返し、以下のように蝉别迟ブロックを生成しています。

set {
  name = "serviceAccount.create"
  value = false
}

set {
  name = "serviceAccount.name"
  value = "aws-load-balancer-controller"
}

# 以下略

パラメータの説明は割爱しますが、今回のお话で重要なのはserviceAccount.nameで、先ほど作成したサービスアカウントの名前を指定します。ここで指定することにより、尝叠颁は先ほど作成したサービスアカウントで动作するようになり、础尝叠に対して操作する権限が得られるようになります。それ以外の详细はを参照してください。

おわりに

権限周りの仕組みは難しいですね。ここまでで尝叠颁のインストールと動作に必要なサービスアカウントの作成は出来ました。あとは、実際にKubernetesでIngressに必要なアノテーションを指定してあげれば、ALBによって外部に公开されることでしょう。以下に例を記載します。Ingressに指定するアノテーションの詳細はを参照してください。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: http-ingress
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: ip
spec:
  rules:
  - http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: http-service
            port:
              number: 80

ではまた。