Azure Kubernetes Service (AKS) でノード リソース グループのロックダウン (プレビュー) を使用してフル マネージド リソース グループをデプロイする

AKS を使用して、インフラストラクチャをサブスクリプションにデプロイし、アプリケーションに接続してアプリケーションを実行します。 ノード リソース グループ内のリソースを直接変更すると、クラスターの動作に影響を与えたり、後で問題の原因になったりする可能性があります。 たとえば、スケーリング、ストレージ、またはネットワークの構成は、これらのリソースに対して直接行うのではなく、Kubernetes API を介して行う必要があります。

ノード リソース グループが変更されないようにするには、拒否の割り当てを適用し、AKS クラスターの一部として作成されるリソースのユーザーによる変更をブロックできます。

重要

AKS のプレビュー機能は、セルフサービスのオプトイン単位で利用できます。 プレビューは、"現状有姿" および "利用可能な限度" で提供され、サービス レベル アグリーメントおよび限定保証から除外されるものとします。 AKS プレビューは、ベストエフォート ベースでカスタマー サポートによって部分的にカバーされます。 そのため、これらの機能は、運用環境での使用を意図していません。 詳細については、次のサポート記事を参照してください。

• AKS サポート ポリシー
• Azure サポートに関する FAQ

開始する前に

始める前に、次のリソースをインストールして構成する必要があります。

• Azure CLI バージョン 2.44.0 以降。 現在のバージョンを調べるには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。
• aks-preview 拡張機能バージョン 0.5.126 以降。
• NRGLockdownPreview 機能フラグがサブスクリプションに登録されている。

aks-preview CLI 拡張機能をインストールする

az extension add または az extension update コマンドを使って、aks-preview 拡張機能をインストールまたは更新します。

# Install the aks-preview extension
az extension add --name aks-preview

# Update to the latest version of the aks-preview extension
az extension update --name aks-preview

NRGLockdownPreview 機能フラグを登録する

1. az feature register コマンドを使用して、NRGLockdownPreview 機能フラグを登録します。

   az feature register --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

   状態が [登録済み] と表示されるまでに数分かかります。

2. az feature show コマンドを使用して、登録の状態を確認します。

   az feature show --namespace "Microsoft.ContainerService" --name "NRGLockdownPreview"
   

3. 状態が Registered と表示されたら、az provider register コマンドを使用して Microsoft.ContainerService リソース プロバイダーの登録を最新の情報に更新します。

   az provider register --namespace Microsoft.ContainerService
   

ノード リソース グループのロックダウンを使用して AKS クラスターを作成する

az aks create コマンドを使い、--nrg-lockdown-restriction-level フラグを ReadOnly に設定して、ノード リソース グループがロックダウンされたクラスターを作成します。 この構成にするとリソースの表示はできますが、変更はできません。

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --nrg-lockdown-restriction-level ReadOnly \
    --generate-ssh-keys

ノード リソース グループのロックダウンを使用して既存のクラスターを更新する

az aks update コマンドを使い、--nrg-lockdown-restriction-level フラグを ReadOnly に設定して、ノード リソース グループがロックダウンされるように既存のクラスターを更新します。 この構成にするとリソースの表示はできますが、変更はできません。

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level ReadOnly

クラスターからノード リソース グループのロックダウンを削除する

az aks update コマンドを使い、--nrg-restriction-level フラグを Unrestricted に設定して、既存のクラスターからノード リソース グループのロックダウンを削除します。 この構成にするとリソースの表示と変更をできるようになります。

az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP_NAME --nrg-lockdown-restriction-level Unrestricted

次のステップ

AKS でのノード リソース グループについて詳しくは、「ノード リソース グループ」をご覧ください。