Esri ホーム ページ

  • ARCGIS

    ArcGIS の概要
    Esri のエンタープライズ地理空間プラットフォーム
    ArcGIS Online
    完全な SaaS マッピング プラットフォーム
    ArcGIS Pro
    世界有数の GIS ソフトウェア
    ArcGIS Enterprise
    GIS とマッピングの基本的なシステム
    開発者向けテクノロジ
    マッピング & 空間解析アプリケーションの構築
    すべてのプロダクト

    機能

    マッピング
    データを空間的に表示および理解
    解析
    位置情報を分析に活用
    データ管理
    GIS データの管理、強化、共有
    すべての機能

    ArcGIS の購入

    ユーザー タイプ
    ArcGIS へのロールベースのアクセス
    Esri ストア
    Esri の ArcGIS 製品
    購入方法
    Esri 製品、パートナー製品、開発者サブスクリプション

    注目のソリューション

    緑の陰影で表された山岳地域のコンター マップ。赤いマップ ポイントと四角形が点線で結ばれており、2 つのポイントの距離が示されている
    オペレーショナル インテリジェンス向け ArcGIS
    オペレーショナル インテリジェンス向け ArcGIS は、戦略から戦術へと移行するアナリストを支援し、オペレーションとインテリジェンス データを実用的なリアルタイムの知見に変換する地理空間ソフトウェアです。
    オペレーショナル インテリジェンス向け ArcGIS の探索

  • 業種

    建築・工業技術・建設コンサル
    ビジネス
    自然保護
    教育機関
    公共エネルギー
    施設管理
    保健福祉サービス
    中央政府
    自然資源
    非営利組織
    市民の安全
    サイエンス
    地方自治体
    持続可能な開発
    電気通信
    交通機関
    水道
    すべての業種

    注目のイニシアティブ

    インフラストラクチャ管理
    インフラストラクチャ管理
    GIS を活用して、最新の強靱で持続可能な未来を創ります。 計画と運用に対する地理学的アプローチは、インフラストラクチャ プロジェクトが周囲の環境とどのように関連しているかをリーダーが理解するのに役立ちます。
    インフラストラクチャ管理の探索

  • サポートとサービス

    サービスの概要
    テクニカル サポート
    プレミアム サポート
    トレーニング
    コンサルティング サービス
    マネージド クラウド サービス
    Advantage Program

    セルフサービス

    優れた地理空間情報活用への道
    Esri Community
    ArcGIS ブログ
    ドキュメント
    My Esri

    Esri に連絡

    サポートに問い合わせ

    注目のトレーニング

    ベージュの背景にユーティリティ フィーチャのネットワークが青と緑のポイントで表されている、都市のストリート マップ
    Working with Utility Networks in ArcGIS
    この 2 日間のクラスでは、ネットワーク フィーチャの効率的な作成と編集、ユーティリティ データの整合性の管理、ネットワーク障害の迅速な特定方法について学びます。
    今すぐ登録

  • Esri ストーリー

    WhereNext Magazine
    エグゼクティブレベルのニュースと洞察
    Esri ブログ
    実世界のグローバルな GIS 技術革新
    Esri と The Science of Where のポッドキャスト
    ビジネスおよびテクノロジ リーダーの声
    ArcUser
    ArcGIS ユーザー向けの実践的な技術リソース
    ArcNews
    業界ニュースと ArcGIS 更新情報
    ArcWatch
    地理空間に関するニュース、見解、およびトレンド
    すべてのストーリー

    注目のストーリー

    大学の共有エリアで 3 列で微笑みながらカメラに向かってポーズをとる学生。一部の学生は立っていて、他は座っている
    The Bullard Center による画期的な環境正義インターンシップ
    テキサス サザン大学の学生が汚染や気候変動に対処するための GIS ソフトウェアの重要な知識とスキルを習得
    ストーリーを読む

  • Esri について

    Esri について
    Esri のプログラムと取り組み
    イベント
    パートナー
    採用情報
    メディアおよびアナリスト関係者の方へ
    Esri に連絡

    GIS について

    GIS とは
    地理学的アプローチ

    イノベーションへの取り組み

    人工知能 (AI)
    ロケーション インテリジェンス
    デジタル トランスフォーメーション
    デジタル ツイン

    注目のリソース

    水辺の建物のアウトラインを示す 3D デジタル マップ。気候リスクを表すために一部が赤く色づけされている
    気候チェックリスト
    地理空間技術の活用による、気候リスクの評価と軽減のためのデータ主導の戦略を学びましょう。 現実世界の例を用いてビジネス、コミュニティ、地球を保護する方法を実演します。
    チェックリストを見る
ArcGIS Enterprise
  • 概要
  • エクステンション
    • セキュリティ
    • マッピングとビジュアライゼーション
    • データ管理
    • 解析と検出
    • 開発者
  • Windows/Linux
  • Kubernetes
    • 購入オプション
購入オプション
  • ホーム
  • 概要
  • デプロイ
  • 管理
  • 作成
  • 解析
  • 共有
  • アプリ
デプロイ計画と準備

計画と準備

デプロイメントの計画 Kubernetes の概念とアーキテクチャ システム アーキテクチャ アーキテクチャ プロファイル 認証ファイルの取得 組織のコンテナー レジストリの使用 暗号化されたパスワードの生成 システム要件 クラスターの作成 クラスターの準備

デプロイ

デプロイメントスクリプトの実行 組織サイトの作成 非接続環境へのデプロイ

認証の構成

認証の構成 SAML の概要 OpenId Connect Web 層認証 ユーザーおよびグループへの LDAP または Windows Active Directory の使用 LDAP の使用 Active Directory の使用 LDAP または Active Directory およびポータル層認証の使用

アンデプロイ

アンデプロイ手順
トップへ戻る
トップへ戻る

クラスターの準備

This ArcGIS 11.1 documentation has been archived and is no longer updated. Content and links may be outdated. See the latest documentation.

このトピックの内容

  1. 名前空間
  2. リソース クォータ
  3. 名前空間のネットワーク要件
  4. ポッド セキュリティ ポリシー
  5. ポッド セキュリティ標準
  6. メトリクス サーバー

ArcGIS Enterprise on Kubernetes をデプロイする前に、クラスターを準備するための下記のガイダンスをご参照ください。

名前空間

ArcGIS Enterprise on Kubernetes は、独自の専用名前空間が必要です。 名前空間は、デプロイメントスクリプトの実行前に作成しておく必要があります。 1 つのクラスターで複数の ArcGIS Enterprise on Kubernetes のデプロイメントを実行するには、デプロイメントごとに一意の名前空間が必要です。

リソース クォータ

ArcGIS Enterprise on Kubernetes のポッドには、CPU とメモリへの要求と制限が定義されています。 名前空間に ResourceQuota オブジェクトがある場合は、クォータはすべてのポッドの要求と制限の合計より高い必要があります。 これらの値は、下で説明するように、選択したアーキテクチャ プロファイルによって異なります。

注意:

11.1 へのアップグレードを実行している場合は、まず名前空間のリソース クォータ値を 11.1 の要件に更新する必要があります。

次に示す推奨値は、各アーキテクチャ プロファイルの最小要件です。 自分の組織のスケーラビリティ要件に対応するには、これらの値の増加が必要になる場合があることを考慮してください。

高い可用性プロファイル:

spec: 
    hard: 
      limits.cpu: "230" 
      limits.memory: 394Gi 
      requests.cpu: "36" 
      requests.memory: 188Gi

標準の可用性プロファイル:

spec: 
    hard: 
      limits.cpu: "198" 
      limits.memory: 326Gi 
      requests.cpu: "32" 
      requests.memory: 130Gi

開発プロファイル:

spec: 
    hard: 
      limits.cpu: "144" 
      limits.memory: 226Gi 
      requests.cpu: "20" 
      requests.memory: 86Gi

名前空間のネットワーク要件

Kubernetes の NetworkPolicies を使用する場合、中断されないポッド間通信とポッドからサービスへの通信が ArcGIS Enterprise の名前空間で許可されていることを確認します。

さらに、名前空間内のポッドが Kubernetes API サーバーにアクセスできることを確認します。 API サーバーには、デフォルトの名前空間内にある Kubernetes という名前のサービスを通じてアクセス可能です。 ArcGIS Enterprise ポッドでは完全修飾ドメイン名 (FQDN) kubernetes.default.svc.cluster.local を使用して API サーバーのクエリを実行します。

注意:

クラスターのデフォルト ドメインは cluter.local です。

ポッド セキュリティ ポリシー

注意:

PodSecurityPolicy は Kubernetes v1.25 で削除されました。

ArcGIS Enterprise on Kubernetes は Elasticsearch をデプロイして ArcGIS Enterprise 組織のさまざまな機能をサポートします。 デフォルトでは、Elasticsearch は mmapfs ディレクトリを使用して必要なインデックスを格納します。 オペレーティング システムのデフォルトのマップ数の制限は、デプロイメントには不十分です。 Elasticsearch は、vm.max_map_count のデフォルト値として 262144 を推奨します。 デフォルト値を変更するには、各ノードで上位 (ルート) 権限が必要です。

Kubernetes クラスターにポッド セキュリティ ポリシーが含まれており、コンテナーを権限付きまたは権限なしとして実行できるかどうかに応じて、次のアクションが必要です。

  • Kubernetes クラスターにポッド セキュリティ ポリシーが含まれていないが、コンテナーを権限付きとして実行できる場合は、アクションは必要ありません。
  • 権限付きで実行 - Kubernetes クラスターにポッド セキュリティが定義されており、コンテナーを権限付きとして実行できる場合は、Elasticsearch サービス アカウントがコンテナーを権限付きとして実行できるようにする必要があります。 他のサービス アカウントは、コンテナーを権限付きとして実行する必要はありません。 ArcGIS Enterprise on Kubernetes は Elasticsearch を実行しているノードで権限付きの init コンテナーを実行できます。これにより、vm.max_map_count 値が変更されます。 ArcGIS Enterprise on Kubernetes デプロイメントスクリプトが名前空間の下にサービス アカウントを作成し、ポッド内のプロセスに対して API Server 認証を使用します。 Elasticsearch のポッドでは独自のサービス アカウントを使用しますが、これは他のワークロードとは共有されません。 デフォルトの Elasticsearch サービス アカウントは arcgis-elastic-serviceaccount です。 RBAC ロールと RoleBindings を使用し、サービス アカウントにポッド セキュリティ ポリシーへのアクセス権を付与できます。 OpenShift の場合は、ユーザー セクションに以下を追加することで、このサービス アカウントに、権限付きのセキュリティ コンテキスト制約へのアクセスを許可することができます。
    “-system:serviceaccount: <Namespace>:arcgis-elastic-serviceaccount"
  • 権限なしで実行 - Kubernetes クラスターにポッド セキュリティが定義されており、ElasticSearch サービス アカウントでコンテナーを権限付きで実行することを許可できない場合、ルートで次のコマンドを実行し、各ノードを手動で準備する必要があります。
    sysctl -w vm.max_map_count=262144
  • PodSecurityPolicy リソースを作成した場合、ArcGIS Enterprise 名前空間で次のサービス アカウントを認証する必要があります。
    • arcgis-admin-serviceaccount
    • arcgis-elastic-serviceaccount
    • arcgis-ingress-serviceaccount
    • arcgis-prometheus-serviceaccount
    • arcgis-queue-serviceaccount
    • default

    ArcGIS Enterprise on Kubernetes コンテナーは、ルート権限なしで実行できます。 ただし、PodSecurityPolicy の fsGroup および supplementalGroups の制御面には、以下の例に示すように、RunAsAny か、値 117932853 を含む範囲が必要です。

    supplementalGroups:
    rule: 'RunAsAny'
fsGroup:
    rule: 'RunAsAny'

    supplementalGroups:
  rule: 'MustRunAs'
  ranges:
    # Forbid adding the root group.
    - min: 117932853
      max: 117932853

fsGroup:
  rule: 'MustRunAs'
  ranges:
    # Forbid adding the root group.
    - min: 117932853
      max: 117932853

注意:

クラスター内のポッドは、FSGroup および SupplementalGroup ID が 117932853 での実行を許可されている必要があります。

ポッド セキュリティ標準

ポッド セキュリティ標準は、ポッドがクラスター内でスケジュールされる前にそれらのポッドに対して一連のセキュリティ規則を管理者が適用できるようにする Kubernetes の機能です。 デフォルトでは、権限付き、ベースライン、制限付きの 3 つのレベルを使用できます。 これらの標準の警告および適用は名前空間単位で制御されます。

ベースラインまたは制限付きの適用レベルが設定された場合、これらのレベルのセキュリティ要件を満たさないポッドの実行は許可されません。 各レベルの詳細については、下記をご参照ください。

  • 権限付き - 権限付きは、幅広い権限への無制限アクセスを許可する無制限のポッド セキュリティ標準です。 このレベルでは、構成を変更せずに ArcGIS Enterprise を実行できます。 このレベルでは、クラスター内での既知の権限エスカレーションが可能になるため、このレベルでの実行は推奨されていません。
  • ベースライン - ベースラインは、より制限されたポッド セキュリティ標準であり、ポッドからホスト ファイルシステムへのアクセスを禁止し、他のボリュームおよびケーパビリティのタイプを制限します。 ベースライン適用レベルでは、実行中のアプリケーションのコンテキスト外にある基本のワーカー ノードを変更し、デプロイメントの前にデプロイメント プロパティファイル内の ALLOW_PRIVILEGED_CONTAINERS プロパティを false に設定することで ArcGIS Enterprise を実行できます。

    ワーカー ノード グループの弾力性を一致させるために、管理者はスクリプト化されたプロセスを使用して、新規にプロビジョニングされたノードごとに起動テンプレートを直接変更して vm.max_map_count 設定を 262144 まで上げる必要があります。

  • 制限付き - 制限付きポッド セキュリティ標準では、ポッドのセキュリティに対して最も厳格な制限が提示され、大部分の securityContext が明示的に設定される必要があります。 このリリースでは、ArcGIS Enterprise を制限付きレベルで実行することはできません。

詳細については、「Pod のセキュリティ アドミッション」および「Pod セキュリティの標準」をご参照ください。

メトリクス サーバー

ArcGIS Enterprise on Kubernetes で水平ポッド自動スケーリングを利用するには、メトリクス サーバーが、実行中のノードごとに kubelet プロセスからポッドのリソース消費メトリクスをスクレイピングする必要があります。 詳細については、「Kubernetes メトリクス サーバー」をご参照ください。

このトピックへのフィードバック

このトピックの内容
  1. 名前空間
  2. リソース クォータ
  3. 名前空間のネットワーク要件
  4. ポッド セキュリティ ポリシー
  5. ポッド セキュリティ標準
  6. メトリクス サーバー
Esri および The Science of Where の詳細Esri: The Science of Where
  • FacebookFacebook
  • XTwitter
  • LinkedInLinkedIn
  • Esri CommunityEsri Community
  • InstagramInstagram
  • YouTubeYouTube_30
ArcGIS
  • ArcGIS の概要
  • マッピング
  • ArcGIS Pro
  • ArcGIS Enterprise
  • ArcGIS Online
  • 開発者向けテクノロジ
  • ArcGIS Location Platform
  • Esri ストア
  • ArcGIS Architecture Center
コミュニティ
  • Esri Community
  • ArcGIS ブログ
  • 業界ブログ
  • ユーザー調査およびテスト
  • Esri Young Professionals Network
  • イベント
GIS の概要
  • GIS とは
  • ロケーション インテリジェンス
  • トレーニング
  • ArcUser
  • ArcNews
  • ArcWatch
  • Esri Press
  • Esri ビデオ
企業情報
  • Esri について
  • Esri に連絡
  • 採用情報
  • オープンビジョン
  • パートナー
  • 企業行動規範
  • 環境および持続可能性に関する声明
特別プログラム
  • ArcGIS for Personal Use
  • ArcGIS for Student Use
  • 自然保護
  • 災害対応
  • 教育機関
  • 非営利組織
  • 人種的平等
  • 個人情報保護方針
  • アクセシビリティ
  • 法的情報
  • サイトマップ
  • セキュリティ センター