本セクションでは、Generic ARK for AWS Transit Gatewayの設定と管理を開始する前に検討すべき事項について説明します。
Amazon Virtual Private Cloud (VPC)
クラスターノードを配置するVPC同士はTransit Gateway経由で接続し、お互いに通信できる必要があります。
クラスターノードやクライアントを配置するVPCおよび、TransitGateway、EC2インスタンス等、制御の対象となるオブジェクトは全て同一AWSアカウントに所属する必要があります。
Amazon Elastic Compute Cloud (EC2)
Generic ARK for AWS Transit Gatewayを使用するには、EC2インスタンスが2つ以上必要です。
EC2インスタンスは、Elastic Network Interface (ENI)に接続されます。
各EC2インスタンスで使用するネットワークインターフェースは、ネットワークの送信元/送信先チェックが無効になっている必要があります。
AWS Command Line Interface (AWS CLI) version 2を各EC2インスタンスにインストールする必要があります。
各EC2インスタンスで、Amazon EC2サービスのエンドポイント(AWSのリージョンとエンドポイント)にプロトコルHTTPおよびHTTPSを使用してアクセスできる必要があります。EC2およびOSの設定を適切に行ってください。
各EC2インスタンス上でメタデータを取得するため、IPアドレス169.254.169.254にプロトコルHTTPでアクセスできる必要があります。
AWS CLIを用いているため、TCPポート443でのアウトバウンド接続を有効にする必要があります。
EC2のAuto Recovery機能はLifeKeeperの回復機能と競合する可能性があるので、併用は推奨しません。
注意: 設定ファイル/etc/default/LifeKeeperのパラメーターPATHにAWS CLI実行ファイルのパスが設定されていない場合、PATHにAWS CLI実行ファイルのパスを追加してください。
AWS Identity and Access Management (IAM)
LifeKeeperがAWSを操作するには、以下のアクセス権限を持ったIAMユーザーもしくはIAMロールが必要です。EC2インスタンスに適切な権限を持つIAMロールをアタッチするか、rootユーザーのAWS CLIプロファイルに権限のあるIAMユーザーを登録してください。AWS IAMロールとAWS CLIの詳細については、AWSユーザーガイドとAmazon EC2のIAMロールを参照してください。
ec2:DescribeRouteTables
ec2:ReplaceRoute
ec2:DescribeTransitGateways
ec2:DescribeTransitGatewayVpcAttachments
ec2:DescribeTransitGatewayPeeringAttachments
ec2:DescribeTransitGatewayRouteTables
ec2:SearchTransitGatewayRoutes
ec2:ReplaceTransitGatewayRoute
Instance Metadata Service (IMDS)
Generic ARK for AWS Transit Gatewayを使用するには、各EC2インスタンスのInstance Metadata Service (IMDS)の設定項目「Instance metadata service」を有効にする必要があります。
このトピックへフィードバック