Azure Kubernetes Service (AKS) を運用するにあたっての備忘録
2024-12-19
azblob://2024/12/18/eyecatch/2024-12-19-aks-operation-tips-000.png

本記事はFIXER Advent Calendar 2024( FIXER Advent Calendar 2024 ~ Tech編 ~ )12月19日の記事です。

AKS Kubernetes のバージョンサポートについて

AKSでサポートされてるk8sのバージョンはおおよそ4か月毎に新しいものが出てきます。そのため運用が結構大変なんですが、長期サポートに対応したバージョンを利用すれば2年間の間と比較的長く利用できるので、運用の負担を減らすことができます。

(自動アップグレードにすればこの辺に関して解決の目途が立つと思うのですが、破壊的な変更等を含むバージョンの場合があるので、安全稼働を考慮するとまずは手動アップグレードになりがちだと思います)

また、LTSを有効にするのはクラスターをPremiumレベルにし、LTSサポートプランを明示的に指定する必要があります。これらを行わないとサポート対象にならないです。他注意点としてはPremiumの料金がそこそこするところでしょうか。

  • 既存のクラスターで LTS を有効にする
az aks update --resource-group <resource-group-name> --name <cluster-name> --tier premium --k8s-support-plan AKSLongTermSupport 
  • Premiumレベル

  • LTSの有効
    • ARMテンプレートから確認可能
    • "supportPlan": "AKSLongTermSupport"
       
  • LTSサポートプランの明示的な指定
    • 2024/12現在: 1.27もしくは1.30

Privileged Identity Management (PIM) 利用環境におけるAKSの権限

意図しない作業による顧客影響を防ぐためにPIMを利用することがあるかと思います。

PIMとAKSを利用している環境の場合、そのままだとAKSの権限をPIM上で管理できません。そのため、kubect apply 等のコマンドを許可なく本番環境で実行してしまえるような状態になります。

また、AKS上のPod等の情報がAzureポータル上から確認できず、確認するには所有者などの権限をPIM上から申請するしかありません。

改善策

ここでは、普段はAKS自体の閲覧権限とPodなどのKubernetesリソースの閲覧を可能にし、必要に応じてKubernetesリソースに対する作成などの権限を申請する方法を紹介します。ただし、Entra IDは一度有効にすると無効にできないので注意が必要です。
 

最後に

以上、短いですがAKSに関するいくつかのTipsをご紹介しました。今年は色々とあり、放置していたCKA資格をそろそろ取得したいと思います。