Amazon EKS のおすすめの教材8選！ 【 2024年11月 最新版】

*Updated the course material on Jan 2024

このコースを一文でまとめると？

このコースは、AWSやKubernetes中級者以上のDevOpsの方が、AWS EKSクラスターを初めて構築し、本番運用向けの様々なベストプラクティス(Helm, Dashboard, Ingress, SSL証明書, AWS IAMユーザーやPodの認証認可: RBAC, IRSA, スケーリング: CA, HPA, Monitoring: Prometheus, Grafana).まで学ぶコースです。

注釈: このコースはK8sのアドミニストレーター（DevOps）としてAWS EKS上でK8sクラスターを構築するための第一歩です。

また、アプリデベロパーでKubernetesクラスターの構築・管理まで興味がない方は対象外です。AWS EKSでの０から本番運用までを学びたいDevOpsがターゲットになります。

☆コース内容を確認した上で受講をいただけるように、無料プレビューを公開してます。ぜひご覧ください☆

もしかしてあたなは今下記に当てはまりますか？

• AWS EKSをはじめるきっかけがない 

• DockerをローカルホストのMinikubeで動かすだけでなく、AWS上で動かしてみたい⼈ 

• DevOpsとして、マネージドKubernetesクラスターをAWS EKSで構築したい

• DockerとKubernetesはなんとなくわかった、じゃあ次はAWSでKubernetesを学ぼう！

• AWS EKSの本番運用向けのベストプラクティス知りたい

• KubernetesダッシュボードをRBAC認可を使ってセットアップしたい

• Helm chartを使ってPrometheusとGrafanaを使ってクラスターやPodをモニタリングしたい

• K8s serviceからAWSのロードバランサーを作成し、SSL証明書を設定、ELBのアクセスログを有効化する方法を学びたい

• AWS EKS内でのAWS IAMユーザーの認証と認可のプロセスを知りたい（aws-iam-authenticator, aws-auth ConfigMap, RBAC: Role Based Access Control）

• AWS EKS内でのK8s PodのAWSへの認可(IRSA: IAM Role for Service Account)がいまいちわからない・・・

• AWSのEC2を使ってK8sのワーカーノードをAutoscaleさせる仕組みを構築したい（Cluster Autoscaler）

• 本番運用向けのEKSクラスター内のモニタリングの仕方がわからない・・・

当コースを取るべき人

• すでにAWSのハンズオン経験が１ー３ヶ月以上ある人（EC2, ELB, VPC, Subnet, IAM, S3, CloudWatch）

• Dockerの経験が1−３ヶ月以上ある（Docker中級者以上推奨。私のDocker完全入門コースとKubernetes完全入門コースを終えてからこのコースをお勧めします）

• すでにKubernetesの知識と経験がが1−３ヶ月以上あり、K8sオブジェクトの基礎を理解している人（Pod, Service, Deployment, Ingress、ConfigMap, ClusterRole, etc）（Kubernetes中級者以上推奨。私のKubernetes完全入門コースを終えてからこのコースをお勧めします）

• AWS EKSをはじめるきっかけがない、まだEKSを構築したことがない人

• K8sのYAMLリソースを使ったことのある人 

• AWS EKSの本番運用向けのベストプラクティス（Security, Monitoring, Scaling, Performance）知りたい

• DevOpsエンジニアとしてKubernetesクラスターをAWSで本番運用向けの構築の仕方を、丁寧な図解説で本質をマスターしたい

当コースが不要な人

• すでにAWS EKSの理論や実践をたくさん知っている

• 特にKubernetesをAWSで使用することを考えておらず、ドッカーやK8sにに興味ない

• Dockerを利用したことが全くない

• AWSを利用したことが全くない

• Kubernetesを利用したことが全くない

• 特にKubernetesクラスターを管理する必要がない人（FrontendやBackendデベロパー）

実際、私が初めてAWS EKSを利用したのは2019年でした。その時はすでにAWS DevOps ProfessionalのCertificationを取得し、Terraformを使ってインフラを立ち上げ・構築をしていました。

その後、KubernetesのCertificationであるCKAを取得しつつ、ハンズオンでEKSを触り始めました。

そこでわかったのは、AWS EKSを本番運用向けにしっかり構築するには、

１）Kubernetesクラスターをアドミニストレートできる（例：CKAレベルの知識）

２）AWSをDevOpsとして流暢に利用できる

、ことです。

本番運用向けには、単にEKSクラスター内にPodとLoadBalancerタイプのServiceでAWS ロードバランサーを立ち上げて外部に公開するだけでは全く不十分です。

1. PodレベルのAWS IAM認可

2. AWS IAMユーザーのK8sクラスター内への認証と認可（AWS IAM RoleとK8sのClusterRoleBindingとConfigMap）

3. AWS ELBの暗号化とログの有効化（K8s Service annotation, AWS S3）

4. Trafficに応じたクラスターの自動スケーリング（AWS EC2 AutoscalingGroup, K8s Cluster Autoscaler）

など、DevOpsとして管理するべきトピックはとても多岐に渡ります。

多くのDocumentationページやエンジニアの記事を読んでツールのメリット・デメリットを理解した上で、EKS Clusterのアーキテクチャを設計する必要もあります。

このコースでは、DevOpsのエンジニアをターゲットに、KubernetesクラスターをAWSで構築したい方向けに、「Docker」「AWS」「Kubernetes」を使ってベストプラクティスを学びながらハンズオンでEKSクラスターを構築していきましょう。

当コースは単なる理論詰め込み型ではなく、再現性の高い実践的なラボとわかりやすい図解説付きのハウトゥーです。

このコースで理論と実践を学ぶことで、

• KubernetesダッシュボードをRBAC認可を使ってセットアップ

• Helm chartを使ってPrometheusとGrafanaを使ってクラスターやPodをモニタリング

• Helm chartを使ってK8s serviceからAWSのロードバランサーを作成、SSL証明書を設定、ELBのアクセスログを有効化

• AWS EKSクラスター内へAWS IAMユーザーを認証と認可（aws-iam-authenticator, aws-auth ConfigMap, RBAC: Role Based Access Control）

• AWS EKS内でのK8s PodのAWSへの認可(IRSA: IAM Role for Service Account)

• AWSのEC2とAutoScalingGroupを使って、K8sのワーカーノードをAutoscale、そしてストレステスト（Cluster AutoscalerとPodレベル認可のIRSA）

• クラスタ内のPodを自動でスケールアップ・ダウン、そしてストレステスト（HorizontalPodAutoscaler）

• なぜeksctl マネージドワーカーノードを本番運用で使うべきでないか

• EKSのデフォルトCNIであるAWS-VPC-CNI pluginのデメリット（EC2のインスタンスタイプによって左右されるPod IPの数）

の理解の仕方まで理解できるようになります。

このコースを取るべき6つの理由

1. 現シリコンバレーDevOpsエンジニア（CKA、CKAD、AWS DevOps Pro保持）による監修

本番現場目線で、Docker,AWS, Kubernetes, AWS EKSを使っている経験をもとに、最新の情報を紹介します

2. 抽象的でとっつきにくいコンセプトやアーキテクチャを図解説

AWS ELBのSSL TerminationやIRSAの仕組みをわかりやすく図解説しました

3. AWS EKSの2020年最新のベストプラクティス

ネットでPodレベルのAWS IAM認可のツールを検索すると、Kube2iamなどの古いツールが多くの記事で紹介されたりしています。Kubernetes自体が頻繁にバージョンアップしているので（現在V1.8）、2020年現在最新のベストプラクティスを紹介しています

4. AWS EKSコースで最も幅広く詳細なトピックをカバーしたコース

AWS EKSクラスターを本番むけに構築する際は、デモ向けのチュートリアルだけでは到底足りません。Security(クラスター内のユーザーとPodの認証と認可、AWS ELBへのTrafficのSSL暗号化）, reliability（EKSワーカーノードの自動スケーリングやPodの自動複製、K8s Ingress Controllerのツールの選択）などDevOpsとして管理することはとても多岐にわたります。

AWS EKSを本番運用しているDevOpsエンジニアとして、数あるAWS EKSの他のコース中で最も体系的で詳細なコースと自信を持って言えます。

5. ハンズオン重視の実践型

理論の図解説による理解は元より、実践で構築できることが大事なので、ハンズオンでデモをしています

6. 幅広いコースをたったの６時間以内に凝縮

講師である自分が学んでいたときのコースを選ぶ目安は、コースの長さでもありました。すでに仕事で忙しいエンジニアなので、10時間以上だとFocusが持たなかったり、冗長で端的にさくっとスパッと学べないことが多いです。そのため、いかに簡潔にコンパクトに学べるかを意識してこのコースを監修しました。週末にさくっと一気に学べます。

生徒さんのエンジニアキャリアアップに役立つコースとなれば嬉しいです。

1. ここから始めましょう
2. このコースを取るべき6つの理由
3. 講師の略歴・バックグラウンド
4. このAWS EKSコースの立ち位置
5. Kubernetesのおさらい
6. コースマテリアルをダウンロード
7. Kubernetesのマスター・ワーカーアーキテクチャのおさらい
8. K8sマスターノード（コントロールプレーン）のおさらい
9. K8sワーカーノード（データプレーン）のおさらい
10. K8sオブジェクト（Pod, Deployment, Service, Ingress, ConfigMap）おさらい
11. AWSとEKSクラスターのセットアップと構築
12. AWSのSetup(アカウント、IAMユーザー、Access Key)
13. AWSの料金節約のコツとEmailアラートの設定の仕方
14. CLIをインストール（aws, aws-iam-authenticator, kubectl, eksctl）
15. AWS CLIの名前付きプロファイルを~/.aws/credentialsに設定する
16. EKSクラスターをついに作成
17. AWS VPCのアーキテクチャをおさらい（VPC, Subnet, AZ, 等）
18. EKSコンソールを紹介
19. Helm Chartの簡単なイントロ
20. Helmを使う理由
21. Helm CLIをインストール
22. Helm Chartの概要とメリット
23. Helm Chartフォルダーの解剖
24. NginxでHelmコマンドをデモ（リポ、install, upgrade, rollback）
25. KubernetesのDashboard
26. なぜK8sのDashboardを先にインストールするのか
27. ステップ１: Metrics Serverをインストール
28. ステップ2：Dashboard v2をインストール
29. ステップ3：RBAC(Role Based Access Control)でDashboardユーザーを認可
30. K8sダッシュボードの解説(namespace, ログ、シェルでコンテナに接続など)
31. サンプルGuestbookアプリをついにEKSに構築！
32. Guestbookアプリのアーキテクチャを解説
33. GuestbookアプリのYAMLファイルのリンク変更
34. アプリのPod, Deployment, Serviceを作成し、外部に公開
35. 図解でAWSとK8sクラスターのアーキテクチャを解説
36. Ingress (L7 ロードバランサー)で外部にアプリを公開
37. なぜLoadBalancerタイプのServiceでなくIngressを使うべきなのか
38. Nginx Ingress ControllerをHelm Chartでインストール
39. IngressリソースYAMLを作成しL7ロードバランスを可能にする
40. EKSクラスター内のアーキテクチャを図解説
41. AWS ELBのHTTPSを有効化する
42. ”400 Bad Request: Plain HTTP request send to HTTPS port”エラーの解決方法
43. AWS ELBのアクセスログを有効化する（S3バケット、K8s service annotations）
44. Nginx Ingress Controllerのデメリットを解説
45. AWS ALB Ingress Controllerのデメリットを解説
46. なぜIstio Service Meshがオススメなのか（クラスター内でデフォルトで相互TLS）
47. ボーナス: 数あるIngress Controllerツールの比較
48. 認証と認可（Authentication ＆ Authorization）
49. AWS IAMユーザーのK8sクラスターへの認証と認可
50. AWS IAMユーザーのクラスター内への認証プロセスを解剖
51. Kubeconfigとaws-auth ConfigMapによるAWS IAMユーザーの認証
52. 新しいAWS IAMユーザーとAccess Keyをコンソールで作成
53. AWS IAMユーザーをK8sクラスター内にアドミンとして認可（注意！アンチパターン）
54. ClusterRoleBinding（RBAC）でK8sユーザーの権限をコントロール
55. ClusterRoleBindingで権限が設定されたK8sユーザーをAWS IAMユーザーをバインド（aws-auth ConfigMapで定義）
56. AWS IAM RoleをK8sクラスター内に認可
57. モニタリング（PrometheusとGrafana）
58. PrometheusをHelm Chartでインストール
59. GrafanaをHelm Chartでインストール
60. K8sコントロールプレーンのLogを有効化
61. EKS ConsoleからマスターノードコンポーネントのLogを有効化
62. CloudWatch Logsの保存期間を設定してコスト削減
63. (上級編) PodレベルのAWS IAM認可: IRSA (IAM Role for Service Account)
64. PodのK8sクラスター内での認証・認可（Service AccountとClusterRole）のおさらい
65. デフォルトのPodのAWSへの認可: EC2のInstance ProfileのIAM Roleを利用 (アンチパターン！)
66. IRSAのアーキテクチャを図解説
67. AWS IAM Roleを作成しServiceAccountとNamespaceを指定、PodのYAMLでIRSAのServiceAccountを指定
68. EC2のInstance MetadataURLへのアクセスをiptablesコマンドでブロック
69. eksctl Managed Nodeのデメリット（EC２のUserdataスクリプトを設定不可）
70. ClusterAutoscalerを使ってEKSワーカーノードをAutoScale
71. Cluster Autoscalerの概要
72. ステップ1：AWSのASG(AutoScalingGroup)にTagを追加
73. ステップ2：Cluster Autoscaler PodにAWS IAM認可をPodレベルのIRSAで追加
74. ステップ3：Cluster AutoscalerをHelm Chartでインストール
75. Cluster Autoscalerをストレステスト
76. HorizontalPodAutoscalerを使ってPodをAutoscale
77. HPAの概要
78. ステップ1：Metrics Serverをインストール
79. ステップ2：リソースリクエストをPod YAMLに定義
80. ステップ3：HorizontalPodAutoscalerを作成
81. HPAをストレステスト
82. AWS-VPC-CNIのデメリット
83. EC2のインスタンスタイプによってPod IPの数が制限されるデメリット
84. クリーンアップ
85. EKSクラスターとAWS VPCをクリーンアップ
86. S3バケットとIAMポリシーをAWS Consoleからマニュアルで削除
87. SNSで米シリコンバレーDevOpsエンジニアをフォロー！
88. 次のステップ
89. 次のステップは新コース！Istio Service MeshでKubernetesクラスター内を自動でMutual TLS など！
90. ボーナスチャプター
91. ボーナス

*Updated the course material on Aug 2023

Terraform version: 1.5.2

Kubernetes version: 1.27

このコースを一文でまとめると？

このコースは、AWS＆Terraform＆EKS中級者の方が、TerraformとAWS EKSのベストプラクティスを使って、AWSのコアサービス（EC2、IAM、VPC）とEKSクラスターをハンズオンで構築し、体系的に知識とスキルを身に着けるコースです。

注釈: このコースはDevOpsとしてAWS EKSとVPCをコード（Terraform）で管理・設定・構築するためのコースです。コースレベルはDevOps・Terraform・AWS・EKS中級者向けです（AWS EKSハンズオンコースは修了済みであることが必須です）。

☆コース内容を確認した上で受講をいただけるように、無料プレビューを公開してます。ぜひご覧ください☆

もしかしてあたなは今下記に当てはまりますか？

• TerraformのSyntaxなどはわかったが、本番運用向けの使い方がわからない

• TerraformのRemote Modulesの公式Githubページを読んだだけでは全くわからない

• 本番運用向けのEKSベストプラクティスはEKSCTL CLIでは理解できたが、DevOpsアプローチであるIaCでの設定の仕方を学びたい

• TerraformでVPCを作成してみたいが、スパゲティコードになってしまう

• TerraformでEKSを構築し、AWS EKS内でのAWS IAMユーザーの認証と認可のプロセスを知りたい（aws-iam-authenticator, aws-auth ConfigMap, RBAC: Role Based Access Control）

• AWS EKS内でのK8s PodのAWSへの認可(IRSA: IAM Role for Service Account)のTerraformでの仕方を学びたい

• AWSのEC2を使ってK8sのワーカーノードをAutoscaleさせる仕組みを構築したい（Cluster Autoscaler）

• TerraformでEKSを構築し、EFSをK8sのワーカーノードにAuto-mountさせたい

当コースを取るべき人

• クラウドコンピューティングのAWSの知識が中級レベル程度ある人（EC2、VPC、IAM、EKS、SSM、S3、DynamooDB、KMSなどを使用します）

• EKSのベストプラクティスの知識がある人

• Terraformの中級者レベルの知識がある人

• TerraformでAWS VPCとEKSを本番運用向けに立ち上げたい人

• DevOpsとしてシニアレベルへ昇格したい、昇給したい、転職したい人

• AWS EKSハンズオンコースを修了済みの方

• Terraform完全入門コースを修了済みの方

• AWS完全入門コースの本番運用向け上級編ベストプラクティスを終えた方

当コースが不要な人

• DevOpsとしてVPCやEKSをIaCで構築する予定が無い方

• AWS EKSハンズオンコースを修了済みでない方

• Terraform完全入門コースを修了済みでない方

• AWS完全入門コースの本番運用向け上級編ベストプラクティスを終えてない方

このコースで学ぶTerraformとEKSの上級レベルの知識とスキルは、おそらくまだ日本ではほぼ知られていない・実践されていない最先端のものになります。

ここまでできれば、確実にSeniorレベルへのステップアップになり、転職活動や昇給にも当然役立ちます。

このコースを取るべき５つの理由

1. 大好評！Udemyベストセラーインストラクター（x5）＆現シリコンバレーDevOpsエンジニア（AWS SAAとAWS DevOps Pro、CKA、CKAD保持）による監修

本番現場目線で、Terraform, AWS VPC, EKSを使っている経験をもとに、最新の情報(Terraform v0.14)を紹介します

2. プラクティカル,　スケーラブル, そしてエクステンシブルなTerraformデザインパターンを使い、 抽象化とmodularizationが可能に

本番運用向けには、単にTerraformの基礎を学べばいいだけではありません。

一般的なソフトウェアデザインパターンもTerraformにあてはまり、このコースでは Facade patternを使い, クリーン、スケーラブル, 管理と拡張がしやすいコードを書いていきます。

3. 本番運用向けのAWS EKSベストプラクティス(security, IRSA, CA, EFS, Logging etc)をTerraformで応用

このコースは、 "AWS EKSハンズオン" コースで学んだEKSのベストプラクティスをTerraformを使って実際にアプライしていきます。

カバーされるトピックは:

- K8s secretsやEBS volumesを暗号化

- AWSユーザーやRoleをK8sクラスター内へ認証・認可

- K8s taintsやlabelsをK8s worker nodesへ追加

- master nodeのlogを有効か

- podレベルののAWS IAM role (IRSA)

- Cluster Autoscalerを使い、ワーカーノードを自動でスケールアウト

- EKS worker nodeのuserdata scriptから、EFSをEC2に自動でmount

これらすべてをTerraformから設定します。

4. DevOpsとしてスキルアップし、昇給・昇格間違いなし！

このコースで学ぶTerraformとEKSの上級レベルの知識とスキルは、おそらくまだ日本ではほぼ知られていない・実践されていない最先端のものになります。

ここまでできれば、確実にSeniorレベルへのステップアップになり、転職活動や昇給にも当然役立ちます。

5. 幅広いコースをたったの５時間以内に凝縮

講師である自分が学んでいたときのコースを選ぶ目安は、コースの長さでもありました。すでに仕事で忙しいエンジニアなので、15-20時間以上だとFocusが持たなかったり、冗長で端的にさくっとスパッと学べないことが多いです。そのため、いかに簡潔にコンパクトに学べるかを意識してこのコースを監修しました。

生徒さんのエンジニアキャリアアップに役立つコースとなれば嬉しいです。

1. ここから始めよう！
2. このコースを取るべき５つの理由
3. このコースの立ち位置
4. Terraformベストプラクティスの3 Layers Moduleアーキテクチャーの概要
5. コースマテリアルをダウンロード
6. AWS CLIの名前付きプロファイルを~/.aws/credentialsに設定する
7. Terraform version
8. Terraformベストプラクティスの3 Layers Moduleアーキテクチャーの概要
9. Terraform Remote Backendに必要なリソースを3-layered Module Architectureで作成
10. Terraform Remote Backendを3-layered Moduleで作成する概要
11. Step 1: S3のRemote TF modulesを local Resource Modulesにコピー（Bottom up approach）
12. Step 2: Terraform Remote BackendのInfrastructure Modulesを作成
13. Step 3: Composition layerを作成し、必要なインプット変数のValueを定義しInfra layerにパスダウン
14. 3つのSubnetレイヤーがあるVPCを作成(AWS完全入門コースの本番運用ベストプラクティスのチャレンジチャプターに似ている)
15. Step 1: VPCのRemote TF modulesを local Resource Modulesにコピー（VPCとSecurity Groupなど）
16. Step 2: VPCのInfrastructure Modulesを作成
17. Step 3: Composition layerを作成し、必要なインプット変数のValueを定義しInfra layerにパスダウン
18. EKS ClusterをVPC内に作成
19. EKSを作成するステップの概要
20. Step 1: EKSのRemote TF modulesを local Resource Modulesにコピー（Bottom up approach）
21. Step 2: EKSのInfrastructure Modulesを作成
22. Step 3: Composition layerを作成し、必要なインプット変数のValueを定義しInfra layerにパスダウン
23. Step 4: kubeconfigファイルを設定して、EKS clusterにアクセスする
24. EKS worker nodeにAttachされたAWS EBS Volumesを暗号化する
25. EBSボリュームを暗号化するステップの概要
26. Step 1: EBS root volumeを暗号化するAttributeをComposition layerの`local.tf`で定義
27. Step 2: 暗号化するためにAWS KMS Key moduleをInfra layerに作成
28. Step 3: AWS KMS moduleをResource layerに作成
29. Security: AWS IdentityのK8sへの認証(aws-auth configMap)と認可(RBAC: Clusterrolebinding)
30. (上級編)AWS IdentityのK8sへの認証・認可のおさらい
31. Step 1: まずはAWS IAM roles/users/accountsを `aws-auth` ConfigMapを使ってK8sクラスターに追加する方法
32. Step 2: `map_roles`ローカル変数を`data.tf`に定義、Infraレイヤーにパスダウン
33. Step 3: `map_roles`インプット変数をResource layerにパスダウン
34. Step 4: AWS IAM role `Developer`が`aws-auth` configmapに存在していないことをチェック
35. Step 5: Terraform apply
36. Step 6: `aws-auth` configmapに`Developer` AWS IAM roleが追加されていて、認証できるかチェック
37. Step 7: ClusterRoleBinding `k8s-developer`を作成し、K8sクラスター内でAWS Identityが認可が取れるかテスト
38. K8s taintとlabelをworker nodesに追加
39. Step 1: まずはWorker nodesの既存のtaintsとlabelsをチェック
40. Step 2: taintsとlabelsを追加
41. Step 3: Terraform apply
42. Step 4: マニュアルでEC2 worker nodesを再起動し、EC2にTaintとLabelをUserdataスクリプトから追加させる
43. K8s コントロールプレーン (Master Components)のLoggingを有効化
44. K8s コントロールプレーン (Master Components)のLoggingの概要
45. Step 1: まずはコントロールプレーンのログを有効化するための、resource moduleで必要なインプット変数を理解する
46. Step 2~4: `cluster_enabled_log_types`というインプット変数を、terraform.tfvarsで定義し、Infraへパス
47. Step 5: control planeのlogsが有効化されているかConsoleからチェック
48. (ベストプラクティス) Security: IRSA(IAM Role for Service Account）を使い、PodレベルのAWSへの認可を設定
49. IRSA(IAM Role for Service Account、またはPodレベルのIAM認可）アーキテクチャの解剖とおさらい
50. Step 1: まずはIRSAの３つのRequirementsを理解する
51. Step 2: (req1) OIDCプロバイダーを作成し、クラスターにアソシエイト
52. Step 3: `Composition` layerのterraform.tfvarsで、`enable_irsa`インプット変数をtrueに設定
53. Step 4~5: `enable_irsa`インプット変数をinfraからresource moduleへパスし、Terraform applyする
54. Step 6: (req2) NamespaceとServiceAccountとOIDCエンドポイントを指定したIAM assumable roleを作成
55. Step 7: IAM assumable roleとIAM policy modulesをinfrastructure layerで作成
56. Step 8: AWS Terraform module for IAMをresource module layerにコピー
57. Step 9: Terraform apply
58. Step 10: 作成されたAWS IAM roleがk8s namespaceとservice account名を含んでいるかチェック
59. Step 11: (req3) IAM roleをservice accountのAnnotationに追加し、IRSAをテスト
60. K8s worker nodesをCluster Autoscaler (CA)を使ってスケールアウト・ダウンする（AWS ASGに似ている）
61. Cluster Autoscalerの概要とおさらい
62. Step 1: (ch8で設定済み) K8sノードのlabelsとtaintsを設定
63. Step 2: Cluster Autoscalerのauto-discoveryをASGのTagで有効化する
64. Step 3: ASGのIAM パミッションを、cluster autoscalerにIRSA (Podレベル)で追加
65. Step 4: Cluster Autoscaler(CA）をHelm chartでインストール
66. Step 5: Cluster AutoscalerのIAM roleが正しいかチェック
67. Step 6: Metrics Serverをインストール
68. Step 7. CAのAuto Scalingをテスト
69. EFS (Elastic File System)をK8s Worker Nodes (EC2)に自動でマウントする
70. EFSの概要
71. Step 1: terraform.tfvarsで, EFSのファイルIDとマウントポイントを`/etc/fstab`ファイルに書き込むコマンドを指定する
72. Step 2: EFS moduleをinfrastructure layerに作成
73. Step 3: EFS resourceをResource layerで定義
74. Step 4: Terraform apply
75. Step 5: EFSがAuto-mountされてるかSSH接続してテスト
76. 全てのAWSリソースをクリーンアップ
77. クリーンアップ
78. ボーナス
79. ボーナスレクチャー

このコースを一文でまとめると？

このコースは、Kubernetes中級者以上のDevOpsの方が、Istio Service Meshをディプロイし、本番運用向けの様々なベストプラクティス(Gateway, Virtual Service, Destination Rule, 加重Routing, Mirror Live Traffic, Fault Injection, Circuit Breaker, Mutual TLS, TLS Termination, JWTの認証認可, TLS Origination, Kiali Dashboard)まで学ぶコースです。

注釈: このコースはK8sのアドミニストレーター（DevOps）としてAWS EKSやGKE上でK8sクラスターを管理するためのコースです。

また、アプリデベロパーでKubernetesクラスターの構築・管理まで興味がない方は対象外です。

☆コース内容を確認した上で受講をいただけるように、無料プレビューを公開してます。ぜひご覧ください☆

もしかしてあたなは今下記に当てはまりますか？

• Istio Servie Meshをはじめるきっかけがない 

• Istio Servie Meshの公式ページを読んだだけでは全くわからない

• DevOpsとして、Kubernetesクラスター内のSecurityを改善したい（Mutual TLSなど）

• Nginx Ingress Controllerのデメリットを克服するために、本番運用向けのIngress Controllerを使いたい

• AWS ALB Ingress Controllerは複数のIngress YAMLを合算できないデメリットがあるので、他のIngress Controllerを使いたい

• Istio Gatewayを使ってホストへのHTTPS(TLS Termination)を有効化したい

• Virtual Service Subsetを使って加重Routing(％の割合によるrouting、Canary rollout) を設定

• DestinationRuleを使ってCircuit Breakerを有効化したい

• Gatewayを使ってHTTPからHTTPSへRedirectの設定をしたい

• JWT(Json Web Token)を使って認証（Authentication）と認可（Authorization）を設定したい

• ServiceEntryを使ってEgressのSecurityを向上したい

当コースを取るべき人

• Dockerの経験が1−３ヶ月以上ある（Docker中級者以上推奨。私のDocker完全入門コースとKubernetes完全入門コースを終えてからこのコースをお勧めします）

• すでにKubernetesの知識と経験がが1−３ヶ月以上あり、K8sオブジェクトの基礎を理解している人（Pod, Service, Deployment, Ingress、ConfigMap, ClusterRole, etc）（Kubernetes中級者以上推奨。私のKubernetes完全入門コースを終えてからこのコースをお勧めします）

• Istio Service Meshをはじめるきっかけがない、まだIstioを使ったことがない人

• K8sのYAMLリソースを使ったことのある人 

当コースが不要な人

• すでにIstio Service Meshの理論や実践をたくさん知っている

• 特にKubernetesクラスター内でMeshの構築やMutual TLS、認証認可などする予定がない・興味がない

• 特にKubernetesを使用することを考えておらず、ドッカーやK8sにに興味ない

• Dockerを利用したことが全くない

• Kubernetesを利用したことが全くない

• 特にKubernetesクラスターを管理する必要がない人（FrontendやBackendデベロパー）

本番運用向けには、単にKubernetesクラスター内にPodとLoadBalancerタイプのServiceでAWS ロードバランサーを立ち上げて外部に公開するだけでは全く不十分です。

またNginxやAWS ALB Ingress Controllerにはデメリットがあり、本番運用向けには向いていません。

さらに、クラスター内のコネクションをHTTPSにアップグレードしたい場合や、Traffic managementをしたい場合は、普通にIngress ControllerやK8sのNetwork Policyだけでは足りません。

このコースでは、DevOpsのエンジニアをターゲットに、Kubernetesクラスター内NetworkのSecurityとControlを向上させ、本番運用により近いクラスターの形成をハンズオンで学んでいきます。

当コースは単なる理論詰め込み型ではなく、再現性の高い実践的なラボとわかりやすい図解説付きのハウトゥーです。

このコースで理論と実践を学ぶことで、

• Istio VirtualServiceとGatewayでPodを外部に公開 

• Istio Gatewayを使ってホストへのHTTPS(TLS Termination)を有効化

• Virtual Service Subsetを使って加重Routing(％の割合によるrouting、Canary rollout) を設定

• HTTP HeaderのIdentityによるRoutingを有効化

• VirtualServiceからDelayやHTTPエラーコードをInjectしてResilienceのテスト 

• VirtualServiceでRetryやTimeoutを指定して、Resilienceをテスト

• Destination Ruleを使ってLoad Balancingポリシーを設定

• DestinationRuleを使ってCircuit Breakerを有効化

• Istio Service Mesh内でMutual TLSが有効化されているのを確認

• Mutual-TLSのSTRICTモードをMesh全体(全てのnamespaces)に有効化

• JWT(Json Web Token)を使って認証（Authentication）と認可（Authorization）を設定

• 指定したSource IPに対して、JWTのEnd-User Authorizationを有効化する

• ServiceEntryを使ってEgress Securityとモニタリングを高める 

• 外部URLへのアクセスに対して、DestinationRuleでHTTPSを有効化する（TLS Origination）

• Kialiダッシュボードを使ってService MeshをVisualizeしたりログやMetricsをチェック

• 
  

などを理解できるようになります。

このコースを取るべき５つの理由

1. 現シリコンバレーDevOpsエンジニア（CKA、CKAD、AWS DevOps Pro保持）による監修

本番現場目線で、Docker,AWS, Kubernetes, AWS EKSを使っている経験をもとに、最新の情報を紹介します

2. 抽象的でとっつきにくいコンセプトやアーキテクチャを図解説

IstioのComplexity（難解度）はかなり高く、学ぶのに一苦労します。特にIstioの公式ページでは、__ダイアグラム・図解がほとんどといっていい程全く無い__ ので、コンセプトの理解に非常に苦労します。

例えば、Istio特有のYAMLリソースである`Gateway`, `Virtual Service`, `Destination Rule`, `Service Entry`などといった関係性がうまく図解説されていません。

なので、High-levelな図解から、IstioのFeatureごとの図解まで、今ネット上で見つかる(日英含む)__最もVisual-learningに優しい__ Istioコースになっています。

3. Istio Service Meshの2020年最新のFeatures

IstioのアーキテクチャはV1.５から変わったので、 ネット上で見つかる記事やデモは古いものになります。

このコースでは2020年現在最新のIstioのアーキテクチャとFeaturesを紹介していきます。

4. ハンズオン重視の実践型

理論の図解説による理解は元より、実践で構築できることが大事なので、ハンズオンでデモをしています

5. 幅広いコースをたったの5時間以内に凝縮

講師である自分が学んでいたときのコースを選ぶ目安は、コースの長さでもありました。すでに仕事で忙しいエンジニアなので、10時間以上だとFocusが持たなかったり、冗長で端的にさくっとスパッと学べないことが多いです。そのため、いかに簡潔にコンパクトに学べるかを意識してこのコースを監修しました。週末にさくっと一気に学べます。

生徒さんのエンジニアキャリアアップに役立つコースとなれば嬉しいです。

1. Introduction
2. このコースを取るべき5つの理由
3. 講師の略歴・バックグラウンド
4. このIstio Service Mesh + Kubernetesコースの立ち位置
5. Service Meshって何？
6. コースマテリアルをダウンロード
7. Istio Service Meshって何？
8. Istio Service Mesh アーキテクチャ
9. v1.5の前後で変わったIstioアーキテクチャ
10. なぜIstioを使うべきなのか？メリットを図解説！
11. AWSのSetup(アカウント、IAMユーザー)(MInikubeを使っても構いませんがロードバランサーのテストができません)
12. AWSの料金節約のコツとEmailアラートの設定の仕方
13. CLIをインストール（aws, aws-iam-authenticator, kubectl, eksctl）
14. AWS CLIの名前付きプロファイルを~/.aws/credentialsに設定する
15. AWS EKSをeksctl CLIを使ってSetup
16. Istioセットアップ(istioctl CLI, IstioをK8sにDeploy)
17. istioctl CLIをインストール
18. istioctl v1.7.0以降から、profile demoでPrometheusやKialiがインストールされなくなりました
19. IstioをK8sクラスター内にDeploy
20. Istio Sidecar Injectionを有効化する
21. Monitoring
22. 簡単なMonitoringダッシュボードを先に紹介
23. Grafana dashboardをチェック
24. Kiali Dashboard(リクエストトレーシング)の紹介
25. サンプルアプリをK8sクラスターにディプロイ
26. GuestbookサンプルアプリをK8sクラスターにディプロイ
27. GuestbookアプリのリポURLの変更
28. GuestbookサンプルアプリのPodsをReplicaSetとしてディプロイ
29. GuestbookサンプルアプリのPodをService（LoadBalancer）で外部公開
30. Nginx Ingress ControllerをHelmを使ってインストール
31. IngressリソースをYAMLで作成し、HTTPパスやホストによるL7ロードバランス
32. K8s Service (LoadBalancerタイプ)によって作成されたAWS ELBを削除
33. 図解でアーキテクチャをおさらい
34. Istio GatewayとVirtualServiceでPodを外部に公開
35. Gatewayとは何か（Ingress Controllerの代替）
36. Gateway YAMLの解剖
37. Virtual Serviceとは何か(ingress resourceの代替)
38. VirtualService YAMLの解剖
39. Istio GatewayとVirtual Serviceをディプロイ
40. Nginx Ingress Controller (とAWS ELB)をアンインストール
41. IstioサンプルアプリBookinfoをディプロイ
42. IstioでTraffic Management
43. 加重ルーティング・Canary(％によるrouting)をDestination RuleのSubsetで設定
44. HTTP HeaderのIdentityによるRouting
45. Query StringによるRouting
46. URI (HTTP path)によるRouting
47. DelayをInjectしてResilienceをテストする
48. HTTP Errorコードを指定して、Resilienceをテスト
49. Timeoutを指定して、Resilienceをテスト
50. Retryを指定して、Resilienceをテスト
51. Live Trafficをコピーする
52. Destination Ruleを使ってLoad Balancingポリシーを設定する
53. ロードバランサーのSticky SessionをDestinationRuleで有効化する
54. Rate Limitingを有効化
55. Circuit Breakerを有効化
56. TransitのSecurity(HTTPS)
57. Istio Gatewayを使って1つのホストへのHTTPS (TLS Termination)を有効化する
58. 複数ホストへのHTTPS (TLS Termination) (SNI) をIstio Gatewayを使って有効化する
59. Istio Service Mesh内でMutual TLSが有効化されているのを確認する
60. Mutual-TLSのSTRICTモードをMesh全体(全てのnamespaces)に有効化する
61. Mutual-TLSのSTRICTモードをMesh内のNamespace限定で有効化する
62. Mutual-TLSのSTRICTモードをMesh内のNamespaceのWorkload限定で有効化する
63. HTTPからHTTPSへのRedirectを設定する
64. JWT(Json Web Token)を使って認証（Authentication）と認可（ Authorization）を設定
65. End-Userの認証を有効化(RequestAuthenticationとAuthorizationPolicyでJWT Tokenを指定)
66. 指定したHTTP pathに対して、JWT Tokenによる認証・認可を有効化
67. 指定したHTTP pathとHOST(ドメイン)に対して、JWT Tokenによる認証・認可を有効化
68. HTTP Header Attributeにより、認証・認可を有効化
69. 指定したSource IPに対して、JWTのEnd-User Authorizationを有効化
70. ServiceEntryを使ってEgress Securityとモニタリングを高める
71. デフォルトのEgressのPass Throughをテスト
72. 外部のURLをServiceEntryでMeshに登録
73. 外部URLへのアクセスに対してTimeoutを設定する
74. 外部URLへのアクセスに対して、DestinationRuleでHTTPSを有効化する（TLS Origination）
75. Observability/モニタリング
76. Istio Envoy Proxyのログをチェック
77. Jaeger でリクエストTracingのダッシュボードをチェック
78. KialiでService MeshをVisualize
79. 次のステップ
80. 次のステップ！新コース（AWSコース）のお知らせ
81. ボーナスレクチャー
82. ボーナス

Amazon EKSをベースにして、Kubernetesを手を動かしながら学びます。このコースでは最初にKubernetesでは、どうやってWebアプリケーションをデプロイし、提供するのかについて実践します。また、Kubernetesだから必要になる運用作業についてもEKSをベースにして学びます。

eksctlを使って手数少なくEKSを素早く習得

• Kubernetesにおいて、分かりづらい部分であるサービスの外部公開について手を動かしながら理解を深めます

• eksctlの各種機能を使って運用作業を実施します

• AWS初心者向けにAWSのアカウント作成から実施します

EKSを操作しながら、Kubernetesの理解を深める

AWSでは、EKSを通じてKubernetesに貢献しています。EKS自体はKubernetesのアップデートを取り込みながらAWSならではの独自機能も提供しています。EKSを学習することでKubernetesの基本から最新のKubernetesの使い方まで、Kubernetesの理解を深めることができます。

本コースでは、AWS初心者はまずAWSのアカウントを作成します。AWSのアカウントから認証情報を発行し、CLIツールでAWSを操作できるようにします。EKSを操作するCLIツールとしてeksctlをインストールします。eksctlを使うと簡単にEKSを操作することができます。eksctlはEKS公式のCLIツールです。eksctlを使って簡単にEKSの環境を作成します。

コンテナ技術を利用するケースとして、Webアプリケーションを公開することが多いと思います。ここでは、公開する題材として、nginxを利用します。サービス公開の手段として、NodePortとロードバランサーを使ったやり方を学びます。まずNodePortを使うことで、Kubernetesの機能だけでサービスの外部公開ができることを学びます。また、NodePortを使う場合のデメリットについても理解します。そのデメリットを解消するためにロードバランサーを使用するやり方についても学びます。サービス公開において、HTTPSやヘルスチェックにも対応します。

Kubernetesの運用としては、サービスをオートスケーリングすることや監視、アップデート、ユーザ管理を行う必要があります。これらについても手を動かしてやり方を学べるようにしています。

このように、AWS、Kubernetes学習者が手を動かして学ぶことができるコースを作成しました。

1. 講座の紹介
2. 講座の紹介
3. AWSを始める
4. AWSアカウントを作成する
5. IAMユーザを作成する
6. 請求アラートを設定する
7. Amazon EKSを始める
8. macOSおよびLinuxでの環境構築について
9. Windowsでの環境構築について
10. AWSのアクセスキーを設定する
11. Amazon EKSを理解する
12. eksctlについて
13. eksctlをインストールする（Homebrewの場合）
14. eksctlをインストールする（AWS CloudShellの場合）
15. eksctlの設定ファイルを作成する
16. EKSを操作する（Homebrewの場合）
17. AWS CloudShellでのkubectlのインストール方法について
18. EKSを操作する（AWS CloudShellの場合）
19. Amazon EKSを始める
20. サービスを公開する
21. nginxをデプロイする
22. NodePortをデプロイする
23. AWS Load Balancer Controllerについて
24. ロードバランサーを配置する
25. HTTPSに対応する
26. ヘルスチェックを実装する
27. サービスを公開する
28. サービスをスケールする
29. 本セクションで参照する外部サイトについて
30. Deploymentリソースを作成する
31. Horizontal Pod Autoscalerを設定する
32. Cluster Autoscalerを設定する
33. サービスをスケールする方法を理解する
34. サービスをスケールする
35. 環境変数を設定する
36. ConfigMapを作成する
37. ConfigMapによる環境変数を更新する
38. Secretを作成する
39. 監視を設定する
40. CloudWatch Container Insightsのインストールについて
41. CloudWatch Container Insightsをインストールする
42. メトリクス、ログを確認する
43. 作成したコンテナイメージをEKS上で起動する
44. AWS CloudShellでの本セクションのサポートについて
45. サンプルのWebアプリケーションを作成する前に
46. サンプルのWebアプリケーションを作成する
47. コンテナイメージを作成する前に
48. コンテナイメージを作成する
49. 「作成したコンテナイメージをEKS上で起動する」レクチャーの補足
50. 作成したコンテナイメージをEKS上で起動する
51. ユーザ管理を行う
52. 新しいIAMユーザを作成する
53. ユーザ認証を行うKubernetesリソースを作成する
54. 新しいIAMユーザでKubernetes環境にアクセスする
55. EKSで既存のVPCを利用する
56. EKSに対応したVPCを理解する
57. VPCを作成する
58. 既存のVPCを使ってEKSを作成する
59. EKSをアップデートする
60. EKSのアップデートにおける事前準備
61. PodDisruptionBudgetを設定する
62. EKSをアップデートする
63. 付録：kubectlを理解する
64. minikubeのインストールについて
65. minikubeをインストールする
66. 基本操作を理解する
67. デバッグ方法を理解する
68. kubectlの設定を理解する
69. Horizontal Pod Autoscalerをマニフェストで扱う
70. ボーナス
71. ボーナスレクチャー

こちらのコースではAmazon EKSを用いた実践的なアプリケーションの構築方法を学びます。

ポイント１：EKSを使ったコンテナベースのアプリケーションを構築できるようになります

Amazon EKSはAWSが提供しているコンテナ管理のマネージド・サービスです。近年では多くの開発現場でコンテナベースでのアプリケーションの開発が行われており、複数のコンテナをオーケストレーションする手段としてAmazon EKSは有力な選択肢の一つです。こちらのコースでは、Kubernetes・Amazon EKSの概要を理解した上で、EKSのクラスターを構築する方法を学びます。

ポイント２：Kubernetesの概要を理解できるようになります。

Kubernetes(k8s)はコンテナ運用・管理のOSSとして非常に普及していますが、その構成要素は複雑であり、理解するのに時間を要します。本講座は、EKSの学習を行う前にk8sの要素・アーキテクチャを理解した上でEKSのハンズオンにすすめるような構成になっています。

ポイント３：初心者向けの解説も充実

メインは上記の2点ですが、初心者向けに以下の点に関して解説するセクションを設けています

• Docker・コンテナの概要
  →  Amazon EKSはコンテナを動作させるサービスです。コンテナとはなにか、という点について簡潔に解説します。

• 今回使用する複数のAWSサービスの概要
  → EKSを含めた複数のサービスを用いてアプリケーションを構築します。それらのサービスの概要・役割について解説します。

1. はじめに
2. 講義の概要
3. 講義を受ける上での注意点
4. 基礎知識の習得 ※初心者向けのセクションです
5. Docker・コンテナの基礎
6. AWSサービスの概要
7. KubernetesとEKSの概要
8. Kubernetesの概要
9. Amazon EKSの概要
10. 開発準備
11. AWSアカウントの作成
12. 作業用のIAMユーザーの作成
13. IAMロールの作成
14. Cloud9による作業環境の用意01
15. Cloud9による作業環境の用意02
16. Cloud9のEC2インスタンスのストレージ増強
17. アプリケーションの準備(frontend)
18. アプリケーションの準備 （backend）
19. Dockerfileの作成
20. docker compose
21. ECRでのリポジトリの作成
22. DynamoDBでのテストデータの準備
23. EKSを用いたアプリケーションの構築
24. EKSクラスターの作成
25. kubensの使い方
26. AWS Load Balancer Controllerの有効化
27. Deploymentリソースの作成(frontend)
28. ServiceとIngressの作成(frontend)
29. DeploymentとServiceの作成(backend)
30. デバッグ1（sshでコンテナにログイン)
31. 補足：ServiceのDNS名に関して
32. デバッグ2（コンテナのログを閲覧)
33. DynamoDBアクセスのためのサービスアカウント作成
34. frontendの再デプロイ
35. Kustomizeの導入
36. Kustomizeの導入
37. AWSリソースのクリーンナップ
38. AWSリソースのクリーンナップ