クラスターの準備

ArcGIS Enterprise on Kubernetes をデプロイする前に、クラスターを準備するための下記のガイダンスをご参照ください。

名前空間

ArcGIS Enterprise on Kubernetes は、独自の専用名前空間が必要です。 名前空間は、デプロイメントスクリプトの実行前に作成しておく必要があります。 1 つのクラスターで複数の ArcGIS Enterprise on Kubernetes のデプロイメントを実行するには、デプロイメントごとに一意の名前空間が必要です。

リソース クォータ

ArcGIS Enterprise on Kubernetes のポッドには、CPU とメモリへの要求と制限が定義されています。 名前空間に ResourceQuota オブジェクトがある場合は、クォータはすべてのポッドの要求と制限の合計より高い必要があります。 これらの値は、下で説明するように、選択したアーキテクチャ プロファイルによって異なります。 プレミアム機能を使用して組織にライセンス付与している場合、追加された機能をサポートするには、以下のリソース クォータ値を 10% 増加する必要があります。

注意:

11.2 へのアップグレードを実行している場合は、まず名前空間のリソース クォータ値を 11.2 の要件に更新する必要があります。

次に示す推奨値は、各アーキテクチャ プロファイルの最小要件です。 自分の組織のスケーラビリティ要件に対応するには、これらの値の増加が必要になる場合があることを考慮してください。

高い可用性プロファイル:

spec: 
    hard: 
      limits.cpu: "230" 
      limits.memory: 394Gi 
      requests.cpu: "36" 
      requests.memory: 188Gi

標準の可用性プロファイル:

spec: 
    hard: 
      limits.cpu: "218" 
      limits.memory: 359Gi 
      requests.cpu: "32" 
      requests.memory: 130Gi

開発プロファイル:

spec: 
    hard: 
      limits.cpu: "144" 
      limits.memory: 249Gi 
      requests.cpu: "20" 
      requests.memory: 86Gi

名前空間のネットワーク要件

KubernetesNetworkPolicies を使用する場合、中断されないポッド間通信とポッドからサービスへの通信が ArcGIS Enterprise の名前空間で許可されていることを確認します。

さらに、名前空間内のポッドが Kubernetes API サーバーにアクセスできることを確認します。 API サーバーには、デフォルトの名前空間内にある Kubernetes という名前のサービスを通じてアクセス可能です。 ArcGIS Enterprise ポッドでは完全修飾ドメイン名 (FQDN) kubernetes.default.svc.cluster.local を使用して API サーバーのクエリを実行します。

注意:

クラスターのデフォルト ドメインは cluter.local です。

ポッド セキュリティ標準

ポッド セキュリティ標準は、ポッドがクラスター内でスケジュールされる前にそれらのポッドに対して一連のセキュリティ規則を管理者が適用できるようにする Kubernetes の機能です。 デフォルトでは、権限付き、ベースライン、制限付きの 3 つのレベルを使用できます。 これらの標準の警告および適用は名前空間単位で制御されます。

ベースラインまたは制限付きの適用レベルが設定された場合、これらのレベルのセキュリティ要件を満たさないポッドの実行は許可されません。 各レベルの詳細については、下記をご参照ください。

  • 権限付き - 権限付きは、幅広い権限への無制限アクセスを許可する無制限のポッド セキュリティ標準です。 このレベルでは、構成を変更せずに ArcGIS Enterprise を実行できます。 このレベルでは、クラスター内での既知の権限エスカレーションが可能になるため、このレベルでの実行は推奨されていません。
  • ベースライン - ベースラインは、より制限されたポッド セキュリティ標準であり、ポッドからホスト ファイルシステムへのアクセスを禁止し、他のボリュームおよびケーパビリティのタイプを制限します。 ベースライン適用レベルでは、実行中のアプリケーションのコンテキスト外にある基本のワーカー ノードを変更し、デプロイメントの前にデプロイメント プロパティファイル内の ALLOW_PRIVILEGED_CONTAINERS プロパティを false に設定することで ArcGIS Enterprise を実行できます。

    ワーカー ノード グループの弾力性を一致させるために、管理者はスクリプト化されたプロセスを使用して、新規にプロビジョニングされたノードごとに起動テンプレートを直接変更して vm.max_map_count 設定を 262144 まで上げる必要があります。

  • 制限付き - 制限付きポッド セキュリティ標準では、ポッドのセキュリティに対して最も厳格な制限が提示され、大部分の securityContext が明示的に設定される必要があります。 このリリースでは、ArcGIS Enterprise を制限付きレベルで実行することはできません。

詳細については、「Pod のセキュリティ アドミッション」および「Pod セキュリティの標準」をご参照ください。

メトリクス サーバー

ArcGIS Enterprise on Kubernetes水平ポッド自動スケーリングを利用するには、メトリクス サーバーが、実行中のノードごとに kubelet プロセスからポッドのリソース消費メトリクスをスクレイピングする必要があります。 詳細については、「Kubernetes メトリクス サーバー」をご参照ください。