AWS から受け取った通知についていくつか質問があります。 「重要なセキュリティパッチと重要な更新を含むソフトウェアアップデートが AWS Fargate にデプロイされました。このソフトウェアアップデートプロセスを完了するために、EKS Fargate は [日付] より前に起動されたポッドを削除する予定です。」
**Q:**AWS が AWS Fargate Pod にパッチや更新を適用するときに、サービスのダウンタイムを避けるにはどうすればよいですか?
通知に記載されている期限までにFargate Podを再起動するのがベストプラクティスです。ポッドがデプロイまたは StatefulSet に属している場合は、次のコマンドのいずれかを実行すると、ダウンタイムなしでデプロイ全体または StatefulSet を正常に再起動できます。
kubectl rollout restart deployment-name -n test-namespace
または、
kubectl rollout restart sts-name -n test-namespace
注: デプロイコマンドで、deployment-name はお使いのデプロイの名前に置き換えてください。StatefulSet コマンドで、sts-name はお使いの StatefulSet の名前に置き換えてください。どちらのコマンドでも、test-namespace はお使いの名前空間の名前に置き換えてください。
詳細については、Kubernetes のウェブサイトで「デプロイ」および「StatefulSets」を参照してください。
ポッドがスタンドアロンポッドの場合は、次の手順を実行します。
- 同じ仕様の交換用ポッドを作成します。
- 必要に応じて、他のアプリケーションのポッドのエンドポイントまたは IP アドレスを更新します。
- スタンドアロンのポッドを削除します。
Q: 通知で指定された日付より前にポッドを再起動しなかった場合はどうなりますか。
Amazon Elastic Kubernetes Service (Amazon EKS) は、ユーザーが設定したポッド中断予算 (PDB) に基づいて、アベイラビリティーゾーンごとに Fargate Pod をエビクトします。エビクションが正常に行われた場合、Amazon EKS は新しいポッドに最新のパッチを適用します。ユーザー側で追加の対応は必要ありません。
Q: ポッドのエビクション失敗や、ノードの終了に関する通知は届きますか?
ポッドのエビクションが失敗すると、AWS はエビクションの失敗に関する通知を送信します。予定されている終了までアクションを実行しなかった場合、Amazon EKS は既存のポッドと基盤となるノードを、通知を送信せずに終了します。終了後、新しいポッドに最新のパッチが適用されます。
Q. Amazon EKS が、PDB のあるアプリケーションポッドのパッチを管理するしくみを教えてください。
Amazon EKS が Fargate Pods にパッチを適用しても、PDB のあるポッドが突然終了することはありません。詳細については、Kubernetes のウェブサイトで「ポッド中断予算」を参照してください。Amazon EKS は、基盤となるノードを更新するときに PDB を考慮します。ダウンタイムを回避するには、ポッドに PDB を設定するのがベストプラクティスです。ただし、PDB が強引な場合、エビクション失敗やノード終了の要因となる場合があります。
Q. ダウンタイムを回避するアクションを実行できない場合に、パッチ適用や削除を延期することはできますか。
セキュリティ上の理由から、Amazon EKS は複数のクラスターに、一括で自動的にパッチを適用します。共通脆弱性識別子 (CVE) には、重大で早急な対応が必要なものもあるため、パッチの適用を延期することはできません。例外措置が必要な場合は、詳細な根拠を記載したテクニカルサポートケースを Amazon EKS チームに提出してください。
Q. Amazon EKS はどのくらいの頻度で Fargate ノード上の OS にパッチを適用しますか。
Amazon EKS は、Fargate ノード上のオペレーティングシステム (OS) に一定の周期でパッチを適用します。事前に確定できないバグ修正や、セキュリティアップデートのパッチも適用されます。
Q. パッチが適用された正確な日時に関する情報はどこで確認できますか。
Amazon EKS はパッチプロセスについて事前に通知します。ただし、パッチの適用には、設定された日付と時刻はありません。Amazon EKS はパッチを自動的に適用するため、パッチの適用は、通知で指定された日付以降いつでも発生する可能性があります。
Q. Amazon EKS からのセキュリティアップデート関連の通知はどこで確認できますか。
Amazon EKS は、セキュリティパッチに関するメール通知を AWS アカウントのプライマリメールアドレスおよび、AWS Health Dashboard に送信します。Amazon EventBridge を使用すると、これらの通知を他の AWS サービスやサードパーティのツールに転送できます。