AWS で処理クラスタを構成する

このトピックでは、Linux VM を移行するための処理クラスタとして AWS 上の Anthos クラスタを設定する方法について説明します。処理クラスタを使用して移行コンテナ アーティファクトを生成し、移行の操作とモニタリングを行います。

始める前に

AWS 上の Anthos クラスタを作成するには、以下が必要です。

AWS 上の Anthos クラスタの作成

AWS 上の Anthos クラスタをインストールする際は多くのオプションがあるため、AWS 上の Anthos クラスタのドキュメントに記載されている情報を参照して、クラスタをインストールします。

クラスタは以下の条件を満たしている必要があります。

AWS 上の Anthos クラスタへの接続

VM の移行に使用する多くの手順では、クラスタで migctl CLI を実行する必要があります。ワークステーションとクラスタの接続によっては、migctl を使用するために踏み台インスタンスへのトンネルを開くことが必要な場合があります。詳細については、管理サービスへの接続をご覧ください。

AWS IAM グループとインスタンスのロールの構成

移行の一環として、Migrate for Anthos はさまざまなデータ リポジトリに情報を書き込みます。

  1. 移行された Linux VM を表す Docker イメージ ファイルが Docker レジストリに書き込まれます。

    こうした Docker イメージ ファイルは、移行された Linux VM のファイルとディレクトリを表します。

  2. 移行されたワークロードを表す移行アーティファクトが 2 つ目のリポジトリに書き込まれます。

    アーティファクトには、移行されたワークロードのデプロイに使用できる構成 YAML ファイルなどのファイルが含まれます。

詳細については、データ リポジトリの定義をご覧ください。

AWS 上の Anthos クラスタがこうしたリポジトリにアクセスできるようにするため、AWS VM の移行の準備では、次の前提条件を満たす必要があります。

  • 移行する AWS アカウントと EC2 インスタンス。

  • AWS アカウントにデプロイされた Migrate for Anthos の IAM ロール、IAM ユーザー、アクセス ポリシー。

AWS アカウントについて - IAM ロールとアクセス ポリシー

Amazon IAM サービスを使用すると、アクセス ポリシーの作成と適用が可能です。Migrate for Anthos は、AWS IAM グループとインスタンスのロールを使用して権限を定義し、有効にします。

少なくとも、次の設定を行うことをおすすめします。

  • AWS の Migrate for Anthos ユーザー アカウントで使用する IAM グループ(MigrateForAnthos)。

    このグループは、必要なデータ リポジトリと EC2 インスタンスにアクセスするために Migrate for Anthos で必要な、最小限の権限を持つアクセス ポリシーを適用します。詳細については、データ リポジトリの定義をご覧ください。

  • MigrateForAnthos IAM グループ内の IAM ユーザー アカウント。

    推奨される権限については、CloudFormation スタック テンプレート ファイルをご覧ください。

Migrate for Anthos IAM グループの作成

  1. CloudFormation スタック テンプレート ファイルIAMGroupForAnthosOnAws_CloudFormation.json)をダウンロードして解凍します。

  2. AWS コンソールにログインし、[CloudFormation] を選択します。

  3. [スタックの作成] をクリックします。

  4. [ファイルの選択] をクリックし、CloudFormation ファイルをアップロードし、[次へ] をクリックします。

  5. CloudFormation スタックの名前を入力します。

  6. オプション ページから [次へ] をクリックし、[作成] をクリックします。MigrateForAnthos という名前のグループが作成されます。

Migrate for Anthos 用の AWS IAM ユーザーの作成

  1. AWS コンソールで、ページの右上にあるアカウント名をクリックし、[セキュリティ認証情報] を選択します。

    AWS Security Credentials メニューコマンドのスクリーンショット(クリックして拡大)
  2. 左側のペインで、[ユーザー]、[新規ユーザーの作成] の順にクリックします。

  3. [アクセスの種類] で [プログラムによるアクセス] をオンにします。

  4. ユーザーの認証情報(キー)を含む CSV ファイルをダウンロードします。

    AWS 上の Anthos クラスタで使用されるリポジトリを構成する場合や、移行元を作成する場合に、この CSV ファイルが必要です。詳細については、データ リポジトリの定義移行元の追加をご覧ください。

    [ユーザーを追加] ダイアログ ボックスのスクリーンショット(クリックして拡大)
  5. CloudFormation スクリプトで作成したグループに IAM ユーザーを追加します。

    [ユーザーを追加] ダイアログ ボックスのスクリーンショット(クリックして拡大)

AWS ワークロード ID について

AWS の Anthos クラスタのワークロード ID を使用すると、特定の権限で Kubernetes サービス アカウントを AWS IAM アカウントにバインドできます。ワークロード ID は、AWS IAM 権限を使用して、クラウド リソースへの不正なアクセスをブロックします。

ワークロード ID を使用すると、各ワークロードに異なる IAM のロールを割り当てることができます。権限をきめ細かく制御することで、最小権限の原則を順守できます。

Migrate for Anthos でワークロード ID を使用する

Migrate for Anthos を使用すると、移行したワークロードを AWS の Anthos クラスタにデプロイできます。場合によっては、処理クラスタとデプロイ クラスタの両方に同じクラスタを使用する場合があります。デプロイ クラスタでワークロード ID を有効にした場合は、Migrate for Anthos をサポートするためにデプロイ環境を正しく構成する必要があります。

また、init プロセスの一部として開始されたすべてのサービスが、Workload Identity に対して正しく構成されていることを確認する必要があります。実行する手順は、クラスタのサービス マネージャーによって異なります。構成手順については、Linux ワークロードをターゲット クラスタにデプロイするをご覧ください。

次のステップ