本記事はFIXERが提供する「cloud.config Tech Blog」に掲載された「Azure Kubernetes Service (AKS) を運用するにあたっての備忘録」を再編集したものです。
本記事はFIXER Advent Calendar 2024(FIXER Advent Calendar 2024 ~ Tech編 ~)12月19日の記事です。
AKS Kubernetes のバージョンサポートについて
AKSでサポートされてるk8sのバージョンはおおよそ4ヵ月毎に新しいものが出てきます。そのため運用が結構大変なんですが、長期サポートに対応したバージョンを利用すれば2年間の間と比較的長く利用できるので、運用の負担を減らすことができます。
(自動アップグレードにすればこの辺に関して解決の目途が立つと思うのですが、破壊的な変更等を含むバージョンの場合があるので、安全稼働を考慮するとまずは手動アップグレードになりがちだと思います)
また、LTSを有効にするのはクラスターをPremiumレベルにし、LTSサポートプランを明示的に指定する必要があります。これらを行わないとサポート対象にならないです。他注意点としてはPremiumの料金がそこそこするところでしょうか。
・既存のクラスターで LTS を有効にする
az aks update --resource-group --name --tier premium --k8s-support-plan AKSLongTermSupport
・Premiumレベル
・LTSの有効
・ARMテンプレートから確認可能
・"supportPlan": "AKSLongTermSupport"
・LTSサポートプランの明示的な指定
・2024/12現在: 1.27もしくは1.30
Privileged Identity Management (PIM) 利用環境におけるAKSの権限
意図しない作業による顧客影響を防ぐためにPIMを利用することがあるかと思います。
PIMとAKSを利用している環境の場合、そのままだとAKSの権限をPIM上で管理できません。そのため、kubect apply 等のコマンドを許可なく本番環境で実行してしまえるような状態になります。
また、AKS上のPod等の情報がAzureポータル上から確認できず、確認するには所有者などの権限をPIM上から申請するしかありません。
改善策
ここでは、普段はAKS自体の閲覧権限とPodなどのKubernetesリソースの閲覧を可能にし、必要に応じてKubernetesリソースに対する作成などの権限を申請する方法を紹介します。ただし、Entra IDは一度有効にすると無効にできないので注意が必要です。
・Microsoft Entra ID 統合を有効
・Azure RBAC を有効
・PIM権限
・常にアクティブ
・Azure Kubernetes Service クラスター ユーザー ロール
・Azure Kubernetes Service 閲覧者
・閲覧以外の操作をしたい時に適宜申請
・Azure Kubernetes Service RBAC クラスター管理者
最後に
以上、短いですがAKSに関するいくつかのTipsをご紹介しました。今年は色々とあり、放置していたCKA資格をそろそろ取得したいと思います。
多田 祐一朗/FIXER
四日市所属のエンジニア。最近は名古屋でも働いてます。
基盤インフラ経験が少しある。


この連載の記事
-
TECH
Amazon CloudFrontで特定の国からのアクセスを制限する方法 -
TECH
AWS CDKでECSの環境変数を管理する際に気をつけるべきこと -
TECH
初心者向け:RDSスナップショットを別のAWSアカウントで復元する手順 -
TECH
AWS CDKとGitHubを使ったIaC=インフラ構成管理の基本 -
TECH
同世代エンジニアに刺激を受けた!JAWS-UG「若手エンジニア応援LT会」参加レポート -
TECH
AWS CDKでGuardDutyのRDS保護を有効化しよう(として詰みかけた話) -
TECH
ノーコードで生成AI連携! SlackからAmazon Bedrockのエージェントに質問 -
TECH
Terraform:変数の値が未代入でもインタラクティブな入力を回避する方法 -
TECH
Amazon SESでEメールの送信機能/受信機能を作る手順 -
TECH
Amazon BedrockからWeb上のコンテンツを参照する新機能「Web Crawler」 - この連載の一覧へ