プリフライトチェックについて理解する

このページは、インフラストラクチャオペレータまたはプラットフォーム管理者を対象としています。

Anthos のプライベートモードでは、状況に応じてプリフライトチェックを実行できます。

Anthos プライベートモードでは、actl を使用して管理クラスタ、ユーザークラスタ、ノードプールリソースを作成または更新する際に、プリフライトチェックを実行します。チェックで不合格になると、何も行われません。また、こうしたチェックをバイパスすることもできます。
Anthos プライベートモードでは、管理クラスタからユーザークラスタに Kubernetes リソースを適用する際に、内部のプリフライトチェックが実行されます。このチェックは、影響を受けるユーザークラスタに変更が実際に適用される前に実行されます。チェックで不合格になると、何も行われません。これらのチェックをバイパスすることも、明示的に実行することもできます。

`actl` を使用したクラスタ作成時のプリフライトチェック

actl コマンドを使用して管理クラスタまたはユーザークラスタを作成すると、Anthos プライベートモードが、変更が行われる前に自動的にプリフライトチェックを実行します。

チェックに合格すると、Anthos プライベートモードでクラスタが作成されます。

自動プリフライトチェックの結果を無視する

自動化されたプリフライトチェックをバイパスする場合は、コマンドでオプションの --force フラグを使用します。

プリフライトチェックを個別に実行する

クラスタを作成する前にプリフライトチェックを自動的に実行することもできます。マシンとノードのリソースが確実にチェックに合格するため時間を節約できます。

このコマンドは、マシンとネットワークにクラスタを作成する準備が整っているかどうかを確認します。

actl clusters baremetal check preflight CLUSTER_NAME

ユーザークラスタ作成に対するプリフライトチェック

既存の管理クラスタからユーザークラスタが作成されます。Anthos プライベートモードが、変更が行われる前に自動的にプリフライトチェックを実行します。また、クラスタを作成する前に kubectl でプリフライトチェックを実行することもできます。

サンプルユーザー構成ファイルの手順に沿って、ユーザークラスタ構成ファイルを作成します。
新しいユーザークラスタの Namespace を作成します。たとえば、user1 という名前の新しいユーザークラスタを作成するために、cluster-user1 という名前の Namespace を作成できます。Namespace を作成する kubectl コマンドは次のとおりです。ここで、ADMIN_KUBECONFIG には、管理クラスタの kubeconfig ファイルのパスを指定します。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create namespace cluster-user1
```
SSH 秘密鍵ファイルをシークレットとして新しい Namespace にアップロードし、認証情報を確立します。コマンドの例を次に示します。ここで、ADMIN_KUBECONFIG には管理クラスタの kubeconfig ファイルへのパスを指定し、SSH_PRIVATE_KEY_FILE_PATH には SSH 秘密鍵ファイルへのパスを指定します。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create secret generic ssh-key -n cluster-user1 --from-file=id_rsa=SSH_PRIVATE_KEY_FILE_PATH
```
以下の構成で、新しいプリフライトチェック YAML ファイルを作成します。configYAML フィールドには、ステップ 1 で作成したユーザークラスタ構成ファイルのテキストの内容を入力します。
```
apiVersion: baremetal.cluster.gke.io/v1
kind: PreflightCheck
metadata:
generateName: preflightcheck-
namespace: cluster-user1
spec:
configYAML: |
# insert user cluster config file content here.
```
次の kubectl コマンドを使用して、ユーザークラスタのプリフライトチェックを実行します。ここで、ADMIN_KUBECONFIG は管理クラスタの kubeconfig ファイルのパスを指定し、USER_CLUSTER_PREFLIGHT_CHECK_CONFIG は前の手順で作成したプリフライトチェック YAML ファイルへのパスを指定します。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create -f USER_CLUSTER_PREFLIGHT_CHECK_CONFIG
```
たとえば、user1-preflight.yaml という名前のユーザークラスタのプリフライトチェック構成の場合、コマンドは次のようになります。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create -f user1-preflight.yaml
```
プリフライトチェックのジョブ ID とともに次のメッセージが返されます。
```
preflightcheck.baremetal.cluster.gke.io/preflightcheck-g7hfo4 created
```
kubectl コマンドを使用して、プリフライトチェックジョブのステータスを確認します。
```
kubectl --kubeconfig ADMIN_KUBECONFIG -n cluster-user1 get preflightchecks preflightcheck-g7hfo4
```

プリフライトチェックジョブで不合格となった場合は、ステータスと詳細なジョブログをチェックして、不合格となったチェックを確認します。ジョブで指摘された問題を適切に修正したら、再度チェックを実行します。

既存のクラスタに対する内部プリフライトチェック

既存の管理クラスタに Cluster Kubernetes リソースを適用すると、Anthos プライベートモードで内部プリフライトチェックも実行されます。いずれかのチェックが失敗した場合、明示的にチェックをバイパスしていない限り、Anthos プライベートモードで関連ノードは変更されません。

Kubernetes リソース適用時のプリフライトチェックをバイパスする

Cluster リソースを既存の管理クラスタに適用する際の内部プリフライトチェックを無視するには、クラスタリソースで BypassPreflightCheck フィールドを true に設定する必要があります。

以下は、クラスタ構成 YAML ファイルの一部ですが、bypassPreflightCheck フィールドが true に設定されています。

# Sample cluster config to bypass preflight check errors:

apiVersion: v1
kind: Namespace
metadata:
  name: cluster-user1
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: user1
  namespace: cluster-user1
spec:
  type: user
  bypassPreflightCheck: true
  # Anthos cluster version.
  anthosBareMetalVersion: 1.9.3
....

プリフライトチェックを再度有効にする

プリフライトチェックが正常に終了すると、Anthos プライベートモードがクラスタを更新または新規作成できるように、プリフライトチェックを新たに明示的にトリガーできます。

次の構成で、新しいプリフライトチェック YAML ファイルを作成します。namespace フィールドと clusterName フィールドに作成するクラスタの名前を入力します。
```
apiVersion: baremetal.cluster.gke.io/v1
kind: PreflightCheck
metadata:
generateName: preflightcheck-
namespace: CLUSTER_NAMESPACE
spec:
clusterName: CLUSTER_NAME
```
kubectl コマンドを発行してクラスタのプリフライトチェックを実行します。ここで、ADMIN_KUBECONFIG には管理クラスタの kubeconfig ファイルへのパスを指定し、CLUSTER_PREFLIGHT_CHECK_CONFIG には事前に作成したプリフライトチェック YAML ファイルへのパスを指定します。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create -f CLUSTER_PREFLIGHT_CHECK_CONFIG
```
たとえば、user1-preflight.yaml という名前のユーザークラスタのプリフライトチェック構成の場合、コマンドは次のようになります。
```
kubectl --kubeconfig ADMIN_KUBECONFIG create -f user1-preflight.yaml
```
システムは、プリフライトチェックのジョブ ID で応答します。
```
preflightcheck.baremetal.cluster.gke.io/preflightcheck-g7hfo4 created
```
kubectl コマンドを使用して、プリフライトチェックジョブのステータス ID をクエリします。
```
kubectl --kubeconfig ADMIN_KUBECONFIG -n cluster-cluster1 get preflightchecks preflightcheck-g7hfo4
```

プリフライトチェックジョブが正常に完了すると、Anthos プライベートモードでクラスタとクラスタのリソースが作成されます。

インストールのプリフライトチェックの詳細

Anthos プライベートモードは、プリフライトチェックを実行する際に、さまざまなオペレーティングシステム、ソフトウェア、マシンの前提条件をチェックします。

詳細については、要件をご覧ください。

認証のプリフライトチェック

認証目的で、プリフライトチェックにより OpenID Connect（OIDC）構成が検証され、誤った OIDC プロファイルの適用を防ぐことができます。

これらのチェックでは、/.well-known/openid-configuration の OIDC 検出メカニズムを使用した OIDC エンドポイントの ping などが行われます。

次のステップ

ユーザークラスタを作成する。

プリフライト チェックについて理解する

actl を使用したクラスタ作成時のプリフライト チェック

自動プリフライト チェックの結果を無視する

プリフライト チェックを個別に実行する

ユーザー クラスタ作成に対するプリフライト チェック

既存のクラスタに対する内部プリフライト チェック

Kubernetes リソース適用時のプリフライト チェックをバイパスする

プリフライト チェックを再度有効にする

インストールのプリフライト チェックの詳細

認証のプリフライト チェック