This documentation is for the current version of GKE on AWS, released in November 2021. See the Release notes for more information.

ロードバランサのサブネット

このページでは、GKE on AWS が AWS と連携して、サービスロードバランサのサブネットを選択する方法と、サービスロードバランサの作成時に自動検出されるようにサブネットにタグを付ける方法について説明します。

サブネットの指定が必要な理由

AWS は、クラウドロードバランサの作成時に作成したクラウドロードバランサを配置するサブネットを把握する必要があります。サブネットは、ロードバランサのアベイラビリティゾーン、IP アドレス、エンドポイントを決定します。

通常、ロードバランサは、ノードプールを含むアベイラビリティゾーンごとに 1 つのサブネットに割り当てられます。AWS では、ネットワークロードバランサ（NLB）の作成用に少なくとも 1 つのサブネットが必要で、アプリケーションロードバランサ（ALB）用に少なくとも 2 つのサブネットが必要です。

すべての AWS サブネットは、パブリック（パブリック IP を持ち、VPC のインターネットゲートウェイへのルートを持つ）、プライベート（これらの機能を持たない）のいずれかです。インターネットに接続するロードバランサは、パブリックサブネット上に配置する必要があります。内部ロードバランサは、パブリックサブネットまたはプライベートサブネットのいずれかに配置できます。

タグ付けされた利用可能なサブネットがない場合

GKE on AWS でロードバランサを作成する必要があり、タグ付けされたサブネットが使用できないか、容量がない場合は、別のサブネットにロードバランサが作成されることがあります。この問題を回避し、ロードバランサが配置されるサブネットを制御するには、すべてのサブネットにタグを付ける必要があります。

サブネットの自動検出

GKE on AWS は、VPC 内のすべてのサブネットをリストし、各アベイラビリティゾーンから最大 1 つのサブネットを選択して、ロードバランサに使用するサブネットを自動検出します。

GKE on AWS でサブネットを自動検出するには、サブネットが次の条件を満たしている必要があります。

kubernetes.io/role/elb でタグ付けされている（インターネットに接続するロードバランサの場合）
kubernetes.io/role/internal-elb でタグ付けされている（内部ロードバランサの場合）
接頭辞 kubernetes.io/cluster/ 付きのタグが含まれていないか、タグ kubernetes.io/cluster/CLUSTER_UID が含まれている。CLUSTER_UID は現在のクラスタの UID。

また、インターネットに接続するロードバランサでの使用を想定したサブネットには、VPC のインターネットゲートウェイへのルートが必要です。

アベイラビリティゾーンにロードバランサの要件を満たす複数のサブネットがある場合、GKE on AWS はサブネット ID の順序でサブネットをランク付けします。

サブネットに用途でタグ付けする

GKE on AWS がロードバランサのサブネットを自動検出するには、2 つのタグのいずれかをサブネットに適用して、可用性について通知する必要があります。それらは次のとおりです。

kubernetes.io/role/elb: このタグをサブネットに適用し、インターネットに接続するロードバランサで使用できるように設定します。これは、VPC のインターネットゲートウェイへのルートを持つパブリックサブネットである必要があります。タグを 1 に設定します。このタグを適用するには、次のコマンドを実行します。
```
aws ec2 create-tags \
  --resources SUBNET_ID \
  --tags "Key=kubernetes.io/role/elb,Value=1"
```
kubernetes.io/role/internal-elb: このタグをサブネットに適用し、内部ロードバランサで使用できるように設定します。タグの値を 1 に設定します。このタグを適用するには、次のコマンドを実行します。
```
aws ec2 create-tags \
  --resources SUBNET_ID \
  --tags Key=kubernetes.io/role/internal-elb,Value=1
```

次のように置き換えます。

SUBNET_ID: タグを付けるサブネットの ID

サブネットに kubernetes.io/role をタグ付けしたら、1 つ以上の kubernetes.io/cluster/CLUSTER_UID タグを使用してタグ付けすることもできます。ここで、CLUSTER_UID は GKE on AWS クラスタの UID です。これにより、これらのタグで指定されていないクラスタでは、ロードバランサで使用するサブネットが自動検出されなくなります。

aws ec2 create-tags コマンドの詳細については、Amazon の aws ec2 create-tags のドキュメントをご覧ください。

トラブルシューティング

ロードバランサの構成で最も一般的な問題は、サブネットのタグ付けが誤っていることです。これにより、自動検出アルゴリズムで間違ったサブネットが選択されることがあります。この問題を診断して解決するには:

インターネットに接続するロードバランサを作成する場合は、ノードプールを含む各アベイラビリティゾーンに少なくとも 1 つのパブリックサブネットが存在し、サブネットに kubernetes.io/role/elb のタグが付けられていることを確認します。
内部ロードバランサを作成する場合は、ノードプールを含む各アベイラビリティゾーンに少なくとも 1 つのサブネットがあり、サブネットが kubernetes.io/role/internal-elb でタグ付けされていることを確認してください。
自動検出するサブネットに kubernetes.io/cluster/CLUSTER_UID 形式のタグがあるかどうかを確認します。サブネットにクラスタを指定するこのようなタグがある場合、サブネットは名前付きクラスタによってのみ自動検出されます。この問題を解決するには、（サブネットを任意のクラスタから自動検出できるように）すべてのクラスタ名タグを削除するか、または GKE on AWS クラスタの UID を持つクラスタ名タグと、shared の値を追加します。
次のコマンドを使用して、Kubernetes のイベント履歴を確認します。
```
kubectl get events -A | grep LoadBalancer
```
たとえば、イベントメッセージ could not find any suitable subnets for creating the ELB は、サブネットを自動検出できないことを示しています。この警告が表示された場合は、サブネットとサブネットのタグが正しく、完全な状態であることを確認してください。
インターネットに接続するロードバランサ用に自動検出できるサブネットを一覧表示するには、次のコマンドを実行します。
```
aws ec2 describe-subnets \
  --filters "Name=vpc-id,Values=VPC_ID" "Name=tag:kubernetes.io/role/elb,Values=*"
```
VPC_ID を VPC の ID に置き換えます。
内部ロードバランサ用に自動検出できるサブネットを一覧表示するには、次のコマンドを実行します。
```
aws ec2 describe-subnets \
  --filters "Name=vpc-id,Values=VPC_ID" "Name=tag:kubernetes.io/role/internal-elb,Values=*"
```

次のステップ

ネットワークロードバランシングの詳細を確認する
HTTP ロードバランサを設定する