Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

サービスに割り当てることができる外部IPアドレスを制限する

PDF
RSS
フォーカスモード
サービスに割り当てることができる外部IPアドレスを制限する - Amazon EKS

このページの改善にご協力ください

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。

このページの改善にご協力ください

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。

Kubernetes サービスには、クラスターの内部から次を経由することで到達できます。

  • Kubernetes によって自動的に割り当てられるクラスター IP アドレス

  • サービス仕様で externalIPs プロパティに指定した任意の IP アドレス 外部 IP アドレスは Kubernetes によって管理されるのではなく、クラスターの管理者が管理します。externalIPs で指定される外部 IP アドレスは、クラウドプロバイダーによって提供される LoadBalancer タイプのサービスに割り当てられる外部 IP アドレスとは異なります。

Kubernetes サービスの詳細については、Kubernetes ドキュメントの「サービス」を参照してください。サービス仕様で externalIPs に指定できる IP アドレスを制限できます。

  1. webhook の証明書を管理するにはcert-manager をデプロイします。詳細については「cert-manager」(証明書マネージャー) ドキュメントを参照してください。

    kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.5.4/cert-manager.yaml

  2. cert-manager Pod が実行中であることを確認します。

    kubectl get pods -n cert-manager

    出力例は次のとおりです。

    NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-58c8844bb8-nlx7q              1/1     Running   0          15s
cert-manager-cainjector-745768f6ff-696h5   1/1     Running   0          15s
cert-manager-webhook-67cc76975b-4v4nk      1/1     Running   0          14s

  3. 既存のサービスを確認して、アドレスを制限する CIDR ブロックに含まれない外部 IP アドレスが割り当てられていないことを確認します。

    kubectl get services -A

    出力例は次のとおりです。

    NAMESPACE                      NAME                                    TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)         AGE
cert-manager                   cert-manager                            ClusterIP      10.100.102.137   <none>          9402/TCP        20m
cert-manager                   cert-manager-webhook                    ClusterIP      10.100.6.136     <none>          443/TCP         20m
default                        kubernetes                              ClusterIP      10.100.0.1       <none>          443/TCP         2d1h
externalip-validation-system   externalip-validation-webhook-service   ClusterIP      10.100.234.179   <none>          443/TCP         16s
kube-system                    kube-dns                                ClusterIP      10.100.0.10      <none>          53/UDP,53/TCP   2d1h
my-namespace                   my-service                              ClusterIP      10.100.128.10    192.168.1.1     80/TCP          149m

    いずれかの値が、アクセスを制限するブロック内にない IP アドレスである場合はブロック内に存在するアドレスを変更し、サービスを再びデプロイする必要があります。例えば、前の出力の my-service サービスにはステップ 5 の CIDR ブロックの例に含まれていない外部 IP アドレスが割り当てられています。

  4. 外部 IP のウェブフックマニフェストをダウンロードします。また、GitHub でウェブフックのソースコードを確認できます。

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/docs/externalip-webhook.yaml

  5. CIDR ブロックを指定します。ダウンロードしたファイルをエディタで開き、次の行の最初の \# を削除します。

    #args:
#- --allowed-external-ip-cidrs=10.0.0.0/8

    10.0.0.0/8 を独自の CIDR ブロックに置き換えます。ブロックはいくつでも指定できます。複数のブロックを指定する場合はブロック間にコンマを追加します。

  6. クラスターが us-west-2 AWS に存在しない場合、ファイル内の us-west-2602401143452、および amazonaws.com を次のコマンドに置き換えます。コマンドを実行する前に、地域コード および 111122223333 を「Amazon EKS アドオンの Amazon コンテナイメージレジストリを表示する」のリストから AWS リージョンの値に置き換えます。

    sed -i.bak -e 's|602401143452|111122223333|' externalip-webhook.yaml
sed -i.bak -e 's|us-west-2|region-code|' externalip-webhook.yaml
sed -i.bak -e 's|amazonaws.com||' externalip-webhook.yaml

  7. マニフェストをクラスターに適用します。

    kubectl apply -f externalip-webhook.yaml

    「CIDR ブロックを指定します」のステップで指定したブロックに含まれていない、externalIPs に指定された IP アドレスを使用して、サービスをクラスターにデプロイしようとすると、失敗します。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.