このページの本文へ

FIXER Tech Blog - Cloud

Azure Kubernetes Service(AKS)のちょっとした運用ノウハウ

2025年01月22日 10時00分更新

文● 多田 祐一朗/FIXER

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はFIXERが提供する「cloud.config Tech Blog」に掲載された「Azure Kubernetes Service (AKS) を運用するにあたっての備忘録」を再編集したものです。

 本記事はFIXER Advent Calendar 2024(FIXER Advent Calendar 2024 ~ Tech編 ~)12月19日の記事です。

AKS Kubernetes のバージョンサポートについて

 AKSでサポートされてるk8sのバージョンはおおよそ4ヵ月毎に新しいものが出てきます。そのため運用が結構大変なんですが、長期サポートに対応したバージョンを利用すれば2年間の間と比較的長く利用できるので、運用の負担を減らすことができます。

 (自動アップグレードにすればこの辺に関して解決の目途が立つと思うのですが、破壊的な変更等を含むバージョンの場合があるので、安全稼働を考慮するとまずは手動アップグレードになりがちだと思います)

 また、LTSを有効にするのはクラスターをPremiumレベルにし、LTSサポートプランを明示的に指定する必要があります。これらを行わないとサポート対象にならないです。他注意点としてはPremiumの料金がそこそこするところでしょうか。

・既存のクラスターで LTS を有効にする

az aks update --resource-group  --name  --tier premium --k8s-support-plan AKSLongTermSupport

・Premiumレベル

・LTSの有効
 ・ARMテンプレートから確認可能
 ・"supportPlan": "AKSLongTermSupport"

・LTSサポートプランの明示的な指定
 ・2024/12現在: 1.27もしくは1.30

Privileged Identity Management (PIM) 利用環境におけるAKSの権限

 意図しない作業による顧客影響を防ぐためにPIMを利用することがあるかと思います。

 PIMとAKSを利用している環境の場合、そのままだとAKSの権限をPIM上で管理できません。そのため、kubect apply 等のコマンドを許可なく本番環境で実行してしまえるような状態になります。

 また、AKS上のPod等の情報がAzureポータル上から確認できず、確認するには所有者などの権限をPIM上から申請するしかありません。

改善策

 ここでは、普段はAKS自体の閲覧権限とPodなどのKubernetesリソースの閲覧を可能にし、必要に応じてKubernetesリソースに対する作成などの権限を申請する方法を紹介します。ただし、Entra IDは一度有効にすると無効にできないので注意が必要です。

Microsoft Entra ID 統合を有効
Azure RBAC を有効
・PIM権限
 ・常にアクティブ
 ・Azure Kubernetes Service クラスター ユーザー ロール
 ・Azure Kubernetes Service 閲覧者
・閲覧以外の操作をしたい時に適宜申請
 ・Azure Kubernetes Service RBAC クラスター管理者

最後に

 以上、短いですがAKSに関するいくつかのTipsをご紹介しました。今年は色々とあり、放置していたCKA資格をそろそろ取得したいと思います。

多田 祐一朗/FIXER
四日市所属のエンジニア。最近は名古屋でも働いてます。
基盤インフラ経験が少しある。

カテゴリートップへ

この連載の記事